02.06.2018, 17:59
Kolejny dowód, że nie można bezgranicznie ufać dostawcom usług, które mają nam zapewniać prywatność i bezpieczeństwo...cytat za info na AVLab
Całość wraz ze sporą ilością szczegółów poniżej
Cytat:Trzy i pół miliona użytkowników znanego dostawcy tunelowania ZenMate VPN było przez niecałą dobę narażonych na całkowite przejęcie konta. Jak to możliwe? Okazało się, że aplikacja zawiera poważny błąd w zabezpieczeniach pozwalający na ujawnienie identyfikatora uwierzytelnienia i tajnego tokenu, za pomocą którego można zalogować się na konto ofiary i zmienić hasło. To tylko połowa złych wiadomości. Druga połowa jest nie mniej drastyczna, ponieważ badaczowi udało się dodatkowo w prosty sposób pobrać informacje o ofierze, czyli:To wszystko było możliwe dzięki luce w rozszerzeniu do przeglądarek pozwalającej na atak XSS, czyli w tym przypadku wstrzyknięcie do pliku „manifest.json” domeny, do której odwoływało się rozszerzenie i pobierało złośliwy kod.
- Informacje o ID konta.
- Adres e-mail ofiary.
- Listę wszystkich używanych adresów e-mail (także tych używanych poprzednio).
- Informacje o subskrypcji i rodzaju konta.
- Kraj, z którego pochodzi ofiara.
- Szczegółowe informacje o urządzeniu, z którego się logowano.
- Prawdziwy adres IP ofiary.
- Całkowitą deanonimizację podczas korzystania przez użytkownika z VPN.
Całość wraz ze sporą ilością szczegółów poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"