Un chercheur de la société de sécurité informatique Intezer, Paul Litvak, a fait la découverte la semaine dernière lorsqu'il a décidé de revoir la sécurité des outils liés à la crypto-monnaie qu'il utilisait.
Litvak est impliqué dans l'industrie de la crypto-monnaie depuis 2017, date à laquelle il s'est impliqué dans la construction d'un robot de trading, et Blockfolio est une application Android qu'il a utilisée pour gérer son portefeuille selon les principes de Bitcoin System.
"Après avoir inutilement examiné leur [nouvelle] application, j'ai jeté un œil aux versions précédentes de l'application pour voir si je pouvais trouver des points de terminaison Web secrets ou cachés depuis longtemps", a déclaré Litvak.
"J'ai immédiatement trouvé cette version à partir de 2017 en accédant à l'API GitHub." Ce code se connecte au référentiel Github de l'entreprise en utilisant une série de constantes qui inclut un nom de fichier et, surtout, la clé utilisée par Github pour permettre l'accès à la dépôt.
L'application a demandé les référentiels GitHub privés de Blockfolio et cette fonction a simplement téléchargé les questions fréquemment posées de Blockfolio directement depuis GitHub, évitant à l'entreprise l'effort d'avoir à le mettre à jour dans ses applications.
Mais laisser la clé exposée est dangereux car n'importe qui peut accéder et contrôler un référentiel GitHub entier. Depuis que l'application a trois ans, Litvak a enquêté pour savoir si le problème était toujours présent.
"J'ai trouvé que le jeton est toujours actif et possède un repo OAuth Scope", a déclaré Litvak. Une «étendue OAuth» est utilisée pour limiter l'accès d'une application au compte d'un utilisateur.
Un "référentiel", selon GitHub, garantit un accès complet aux référentiels privés et publics et comprend un accès en lecture / écriture au code, des états de validation et des projets d'organisation, entre autres fonctions.
"Toute personne assez curieuse pour décoder l'ancienne application Blockfolio aurait pu la reproduire et télécharger tout le code Blockfolio et même mettre son code malveillant dans sa propre base de code."
Cette vulnérabilité était publique depuis deux ans et le trou était toujours ouvert. Litvak a averti Blockfolio du problème via les médias sociaux, car Blockfolio n'a pas de programme de primes de bogues pour éliminer les vulnérabilités.
Le co-fondateur et PDG de Blockfolio, Edward Moncada, a confirmé l'histoire aux médias et a annoncé que Blockfolio avait révoqué l'accès à la clé. Les jours suivants, Moncada a déclaré que Blockfolio avait effectué un audit de ses systèmes et constaté qu'aucune modification n'avait été apportée.
Le jeton aurait permis à quelqu'un de modifier le code source, mais Moncada a déclaré qu'il n'y aurait jamais de risque de divulguer du code malveillant aux utilisateurs.
Les crypto-monnaies ont révolutionné le monde de l'économie et de l'investissement, offrant une alternative décentralisée aux…
Milkomedia-C1 a annoncé l'intégration du réseau DJed stablecoin sur sa plateforme. Milkomeda C1, un…
Les crypto-monnaies ont acquis une immense popularité au cours de la dernière décennie, attirant des investisseurs du monde entier. Toutefois,…
L'ancien échange de crypto-monnaie FTX était basé aux Bahamas. La nation insulaire n'a pas été…
Alors que l'adoption de Shiba Inu monte en flèche, le memecoin et l'ensemble de l'écosystème Shiba…
L'adoption de monnaies numériques telles que Bitcoin a continué de croître sans relâche. Beaucoup…