ZenMate VPN ujawniał prawdziwe dane użytkowników
#1
Kolejny dowód, że nie można bezgranicznie ufać dostawcom usług, które mają nam zapewniać prywatność i bezpieczeństwo...cytat za info na AVLab

Cytat:Trzy i pół miliona użytkowników znanego dostawcy tunelowania ZenMate VPN było przez niecałą dobę narażonych na całkowite przejęcie konta. Jak to możliwe? Okazało się, że aplikacja zawiera poważny błąd w zabezpieczeniach pozwalający na ujawnienie identyfikatora uwierzytelnienia i tajnego tokenu, za pomocą którego można zalogować się na konto ofiary i zmienić hasło. To tylko połowa złych wiadomości. Druga połowa jest nie mniej drastyczna, ponieważ badaczowi udało się dodatkowo w prosty sposób pobrać informacje o ofierze, czyli:
  • Informacje o ID konta.
  • Adres e-mail ofiary.
  • Listę wszystkich używanych adresów e-mail (także tych używanych poprzednio).
  • Informacje o subskrypcji i rodzaju konta.
  • Kraj, z którego pochodzi ofiara.
  • Szczegółowe informacje o urządzeniu, z którego się logowano.
  • Prawdziwy adres IP ofiary.
  • Całkowitą deanonimizację podczas korzystania przez użytkownika z VPN.
To wszystko było możliwe dzięki luce w rozszerzeniu do przeglądarek pozwalającej na atak XSS, czyli w tym przypadku wstrzyknięcie do pliku „manifest.json” domeny, do której odwoływało się rozszerzenie i pobierało złośliwy kod.

Całość wraz ze sporą ilością szczegółów poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości