В приложении Blockfolio обнаружена уязвимость, которая позволяет получить доступ к закрытому исходному коду и внедрить собственный код в репозиторий Blockfolio на GitHub.
Специалист по кибербезопасности из компании Intezer Пол Литвак (Paul Litvak) обнаружил уязвимость в конце апреля, когда решил проверить безопасность используемых им криптовалютных инструментов.
Код подключается к репозиторию Blockfolio на Github с помощью набора констант, включающих в себя имя файла и ключ, который Github использует для предоставления доступа к репозиториям. Ниже он отображается как переменная «d».
Приложение отправляло запросы в закрытые репозитории, и эта функция загружала часто задаваемые вопросы Blockfolio непосредственно из GitHub, избавляя компанию от необходимости обновлять информацию внутри приложения. Однако эта функция опасна тем, что позволяет получить доступ и контроль над всем репозиторием Blockfolio на GitHub.
Однако обнаруженный им ключ был до сих пор «активен и имел OAuth Scope «repo», который используется для ограничения доступа приложения к учетной записи пользователя.
Repo, согласно GitHub, предоставляет полный доступ к закрытым и общедоступным репозиториям и включает в себя доступ на чтение и запись кода, а также фиксации состояния репозитория и проектам организации.
Уязвимость существовала в течение двух лет. Литвак предупредил Blockfolio об этой проблеме через социальные сети, так как у проекта нет программы вознаграждений для разработчиков, обнаруживающих подобные ошибки.
Соучредитель и генеральный директор Blockfolio Эдвард Монкада (Edward Moncada) подтвердил, что ключ доступа GitHub был ошибочно оставлен в предыдущей версии кодовой базы приложения Blockfolio. Когда команда получила предупреждение об уязвимости, Blockfolio аннулировал доступ к ключу.
Монкада сказал, что в течение следующих нескольких дней Blockfolio провела аудит своих систем, и подтвердила, что никто не воспользовался уязвимостью. Поскольку ключ предоставлял доступ к коду, который был отделен от базы пользовательских данных, они не были подвержены риску.
Ключ мог позволить внести изменения в исходный код, но благодаря внутренним процессам подтверждения внесения изменений в систему, никогда не существовало риска, что вредоносный код будет выпущен в версии для пользователей.
Многие криптовалютные проекты имеют уязвимости, которые периодически обнаруживают специалисты по кибербезопасности. Так, недавно исследователи из университетов Норвегии и Люксембурга обнаружили возможность атаки на Lightning Network, при которой могут быть раскрыты балансы узлов.
Кроме того, недавно некастодиальная криптовалютная биржа Bisq остановила торги из-за обнаружения критической уязвимости в системе безопасности.
С ростом цен все больше россиян интересуются биткоином. Но всемирное увлечение этим криптоактивом также привело…
В наше время криптовалюты стали неотъемлемой частью мировой экономики и финансов. Они предоставляют уникальные возможности…
Виталий Бутерин, основатель Ethereum, имеет тесные связи с Wanxiang Group, китайской компанией, зависящей от правительства…
Обмен юсдт (Tether TRC20 USDT) на российские рубли (RUB) на карты РФ - это процесс…
Каждый посетитель интернет-казино жаждет получить крупный выигрыш с наименьшими рисками. Для такой игры лучше всего…
Появление криптовалюты произвело революцию в цифровых активах, позволив частным лицам безопасно и легко обмениваться ценностями…
Bitcoin и другая криптовалюта всегда вызывала противоречивые мнения у разных участников финансового сектора. Не исключением…
Рынок финансовых услуг России стабильно развивается. Каждый день компании предлагают новые программы финансирования для потенциальных…
Кэш-память является одним из ключевых компонентов процессора, который играет важную роль в оптимизации производительности ноутбука…
Для того чтобы стать успешным и востребованным риэлтором, нужно хорошо разбираться в объектах недвижимости и…
По данным Организации Объединенных Наций, пандемия и связанная с ней нестабильная экономика приводят к росту…
В последнее время банки активно предлагают различные программы финансирования граждан. Одним из удобных и технологичных…
Доверенный торговый счет – это соглашение между трейдером и инвестором, в результате которого трейдер торгует…
Рейтинг лучших ботов для торговли криптовалютой на бирже может меняться со временем и зависит от…
Криптовалюты уже давно стали отличным вариантом заработка. Волатильность рынка позволяет получать хороший доход. Поэтому трейдеры…
В наше время деньги нужны всем и всегда. Но иногда бывают ситуации, когда они нужны…
Aptos - это блокчейн L1, который стремится стать самым безопасным и масштабируемым блокчейном в истории.…
Ethereum является одной из самых перспективных криптовалют и в ближайшем будущем может отнять трон у…
Дефи криптовалюта - это новый вид валюты, которая появилась на рынке в последние годы. Она…
Ноутбуки 2-в-1, также известные как конвертируемые ноутбуки — эти устройства давно стали отдельным сегментом в…
Найбільша криптовалютна біржа Європи з українським корінням — WhiteBIT — створила спеціальні умови для залучення…