Vulnerabilidade fixa em Tutanota

Durante uma de nossas revisões regulares de segurança, encontramos uma vulnerabilidade XSS que agora foi corrigida.

2021-03-25
Em 25 de fevereiro identificamos uma possível vulnerabilidade de Cross-Site Scripting (XSS) em uma de nossas páginas separadas para nosso cliente de webmail, desktop e aplicativos móveis, que lida com o processamento de informações de pagamento de nosso provedor de pagamento Braintree. Publicamos imediatamente uma correção do lado do servidor para remover a vulnerabilidade e atualizar os clientes com o próximo lançamento.
CRIAR CONTA

O que aconteceu e que acções tomámos?

A vulnerabilidade foi introduzida enquanto melhorava a aparência de um site intermediário exibido durante o processo de configuração do 3DS em 20 de janeiro. Nós corrigimos a vulnerabilidade imediatamente após a sua identificação em 25 de fevereiro.

A vulnerabilidade permitiu que um atacante criasse um link malicioso que poderia vazar as credenciais de login.

Nenhuma tentativa de explorar a vulnerabilidade é conhecida até à data. Embora a vulnerabilidade tenha sido introduzida em uma página que estava envolvida com pagamentos com cartão de crédito, nenhum dado de pagamento foi exposto.

Preciso de alterar a minha palavra-passe?

A vulnerabilidade encontrada só foi possível de ser explorada porque o processamento do pagamento estava sendo executado sob nosso domínio principal. Devido a isso, a vulnerabilidade tornou possível obter senhas ou autenticações de sessão no navegador.

A vulnerabilidade poderia ter sido explorada sob as seguintes circunstâncias:

  • Você recebeu e clicou em um link que começou com https://mail.tutanota.com/braintree.html entre 20 de janeiro e 25 de fevereiro de 2021.

  • Caso você tenha armazenado suas credenciais de login Tutanota no navegador, o atacante teria então conseguido acessar sua senha.

  • No caso de teres entrado no browser, o atacante teria podido usar a tua autenticação de sessão para aceder à tua caixa de correio até teres saído novamente.

  • A vulnerabilidade não poderia ter sido explorada em nenhuma circunstância se você só usasse o Tutanota através de nossos clientes desktop e aplicativos móveis.

Atenção: O encaminhamento automático para o nosso processador de pagamento quando você paga pelo Tutanota nunca representou uma vulnerabilidade.

Se você acredita que alguém possa ter obtido a sua senha, por favor mude a sua senha e atualize o seu código de recuperação, ambos em Configurações -> Login.

É importante também atualizar seu código de recuperação se você acredita que alguém roubou sua senha porque com a senha poderia ter mudado seu código de recuperação para assumir maliciosamente sua conta em um momento posterior.

Passos para evitar problemas semelhantes

Tomamos medidas para evitar problemas semelhantes no futuro:

  • Movemos todo o processamento de pagamentos para um subdomínio separado que não tem acesso às credenciais de login salvas.

  • Nós proibimos o uso de padrões que estão ligados a ataques similares em nossas diretrizes de codificação.

  • Identificamos esta vulnerabilidade durante uma revisão interna de segurança regular. Continuaremos a rever regularmente a nossa base de código completa para questões de segurança.

Revisão de segurança

Terminamos agora a nossa mais recente revisão de segurança de Tutanota. Esta revisão de segurança foi parte do processo de empurrar os clientes desktop da Tutanota para fora do beta.

Durante a revisão, não foram encontrados mais problemas graves. Identificamos alguns problemas menores que estamos agora no processo de correção.

CRIAR CONTA
Author
Emails mais lidos
Modelação de ameaças em 2024: O seu guia para uma melhor segurança
10 melhores serviços de correio eletrónico privado em 2024
A Google paga 1150 vezes mais pelo seu monopólio de pesquisa do que pelo lobbying na UE e nos EUA
Porquê utilizar um gestor de palavras-passe - e os nossos 3 principais!
Correio electrónico anónimo: Criar um endereço de correio electrónico sem número de telefone.
A ilusão de que a "privacidade suíça" é a melhor
10 melhores contas de correio eletrónico gratuitas em 2024
Latest posts
Há 20 anos, o Gmail revolucionou o correio eletrónico. Está na altura de uma nova revolução!
Se quiser privacidade, o Congresso dos EUA está a dizer que é um criminoso
Relatório sobre os problemas de disponibilidade de abril para os utilizadores de Android/Desktop
O governo dos EUA pede à Microsoft que melhore a sua segurança - antes de acrescentar novas funcionalidades.

Sem comentários ainda

Encerrar assinatura
Empresa
Comunidade
Equipe
Empregos
Termos
Privacidade
Aviso legal
Desenvolvimento
Registro de alterações
Mapa do percurso
Segurança
criptografia
Código aberto
Github
Recursos
Secure Email
Agenda Criptografada
Negócios
Suporte
Fórum
Imprensa
Suporte
Idioma
Português, BR
Traduzir