Correction d'une vulnérabilité dans Tutanota

Au cours de l'un de nos examens de sécurité réguliers, nous avons découvert une vulnérabilité XSS qui a maintenant été corrigée.

2021-03-25
Le 25 février, nous avons identifié une possible vulnérabilité de type Cross-Site Scripting (XSS) sur l'une de nos pages web distinctes de notre client webmail, de nos applications de bureau et mobiles, qui traite le traitement des informations de paiement de notre fournisseur de paiement Braintree. Nous avons immédiatement publié un correctif côté serveur pour supprimer la vulnérabilité et mis à jour les clients avec la prochaine version.
S'INSCRIRE

Que s'est-il passé et quelles mesures avons-nous prises ?

La vulnérabilité a été introduite lors de l'amélioration de l'apparence d'un site intermédiaire affiché pendant le processus de configuration de la 3DS le 20 janvier. Nous avons corrigé la vulnérabilité immédiatement après l'avoir identifiée le 25 février.

La vulnérabilité permettait à un attaquant de créer un lien malveillant susceptible de divulguer des informations d'identification.

Aucune tentative d'exploitation de la vulnérabilité n'est connue à ce jour. Bien que la vulnérabilité ait été introduite sur une page qui concernait les paiements par carte de crédit, aucune donnée de paiement n'a été exposée.

Dois-je changer mon mot de passe ?

La vulnérabilité découverte n'a pu être exploitée que parce que le traitement des paiements s'effectuait sous notre domaine principal. De ce fait, la vulnérabilité a permis de s'emparer des mots de passe ou des authentifications de session dans le navigateur.

La vulnérabilité aurait pu être exploitée dans les circonstances suivantes :

  • Vous avez reçu et cliqué sur un lien commençant par https://mail.tutanota.com/braintree.html entre le 20 janvier et le 25 février 2021.

  • Dans le cas où vous auriez stocké vos identifiants de connexion Tutanota dans le navigateur, l'attaquant aurait alors pu accéder à votre mot de passe.

  • Dans le cas où vous étiez connecté dans le navigateur, l'attaquant aurait pu utiliser votre authentification de session pour accéder à votre boîte aux lettres jusqu'à ce que vous vous déconnectiez à nouveau.

  • La vulnérabilité n'aurait en aucun cas pu être exploitée si vous utilisez Tutanota uniquement via nos clients de bureau et nos applications mobiles.

Veuillez noter : la transmission automatique à notre processeur de paiement lorsque vous payez pour Tutanota n'a jamais présenté de vulnérabilité.

Si vous pensez que quelqu'un a pu mettre la main sur votre mot de passe, veuillez changer votre mot de passe et mettre à jour votre code de récupération, tous deux sous Paramètres -> Connexion.

Il est important de mettre également à jour votre code de récupération si vous pensez que quelqu'un a volé votre mot de passe, car avec le mot de passe, il aurait pu modifier votre code de récupération pour prendre malicieusement le contrôle de votre compte ultérieurement.

Mesures pour éviter des problèmes similaires

Nous avons pris des mesures pour éviter que des problèmes similaires ne se reproduisent à l'avenir :

  • Nous avons déplacé tout le traitement des paiements vers un sous-domaine distinct qui n'a pas accès aux identifiants de connexion enregistrés.

  • Nous avons interdit l'utilisation de motifs liés à des attaques similaires dans nos directives de codage.

  • Nous avons identifié cette vulnérabilité lors d'un examen régulier de la sécurité interne. Nous continuerons à examiner régulièrement l'ensemble de notre base de code pour détecter les problèmes de sécurité.

Examen de la sécurité

Nous avons maintenant terminé notre plus récent examen de sécurité de Tutanota. Cet examen de sécurité faisait partie du processus de sortie de la version bêta des clients de bureau Tutanota.

Au cours de cet examen, aucun autre problème grave n'a été découvert. Nous avons identifié un certain nombre de problèmes mineurs que nous sommes en train de corriger.

S'INSCRIRE
Author
Top posts
Modélisation des menaces en 2024 : Votre guide pour une meilleure sécurité
10 meilleurs services de messagerie privée en 2024
Google paie 1150 fois plus pour son monopole sur les moteurs de recherche que pour ses activités de lobbying dans l'UE et aux États-Unis
Pourquoi utiliser un gestionnaire de mots de passe - et nos 3 meilleurs !
Courriel anonyme : Créez une adresse électronique sans numéro de téléphone.
L'illusion que la "vie privée suisse" est la meilleure
10 meilleurs comptes de messagerie gratuits en 2024
Latest posts
Google Search Is A Problem : How Google Is Crushing Tuta.
La porte dérobée XZ et l'importance des logiciels libres
Apple vous donne enfin le choix : prenez-le et installez un navigateur privé dès maintenant !
Le groupe de pirates russes Sandworm est de retour : Le nouveau logiciel malveillant Kapeka infecte secrètement les systèmes depuis 2022

Aucun commentaire disponible

Résilier l'abonnement
Entreprise
Communauté
Équipe
Recrutement
CGV
Confidentialité
Mentions légales
Développement
Changelog
Planning
Sécurité
Chiffrement
Open-source
GitHub
Fonctionnalités
E-mail sécurisé
Calendrier chiffré et gratuit
Entreprise
Support
Forum
Presse
Support
Langue
Français
Traduire