SafeGroup
ZenMate VPN ujawniał prawdziwe dane użytkowników - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Prywatność danych (https://safegroup.pl/forum-14.html)
+--- Wątek: ZenMate VPN ujawniał prawdziwe dane użytkowników (/thread-11469.html)



ZenMate VPN ujawniał prawdziwe dane użytkowników - ichito - 02.06.2018

Kolejny dowód, że nie można bezgranicznie ufać dostawcom usług, które mają nam zapewniać prywatność i bezpieczeństwo...cytat za info na AVLab

Cytat:Trzy i pół miliona użytkowników znanego dostawcy tunelowania ZenMate VPN było przez niecałą dobę narażonych na całkowite przejęcie konta. Jak to możliwe? Okazało się, że aplikacja zawiera poważny błąd w zabezpieczeniach pozwalający na ujawnienie identyfikatora uwierzytelnienia i tajnego tokenu, za pomocą którego można zalogować się na konto ofiary i zmienić hasło. To tylko połowa złych wiadomości. Druga połowa jest nie mniej drastyczna, ponieważ badaczowi udało się dodatkowo w prosty sposób pobrać informacje o ofierze, czyli:
  • Informacje o ID konta.
  • Adres e-mail ofiary.
  • Listę wszystkich używanych adresów e-mail (także tych używanych poprzednio).
  • Informacje o subskrypcji i rodzaju konta.
  • Kraj, z którego pochodzi ofiara.
  • Szczegółowe informacje o urządzeniu, z którego się logowano.
  • Prawdziwy adres IP ofiary.
  • Całkowitą deanonimizację podczas korzystania przez użytkownika z VPN.
To wszystko było możliwe dzięki luce w rozszerzeniu do przeglądarek pozwalającej na atak XSS, czyli w tym przypadku wstrzyknięcie do pliku „manifest.json” domeny, do której odwoływało się rozszerzenie i pobierało złośliwy kod.

Całość wraz ze sporą ilością szczegółów poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]