Популярное мобильное приложение для отслеживания и управления портфелем криптовалют Blockfolio имело зияющую дыру в безопасности, которую на прошлой неделе обнаружил «белый хакер» Пол Литвак.
Литвак решил проверить безопасность крипто-инструментов, которые он сам использует, среди них было и приложение Blockfolio. Он обнаружил, что в системе безопасности приложения есть уязвимость, которая присутствует и в более старых версиях. Эта уязвимость открывала полный доступ к закрытому исходному коду. Злоумышленники могли бы внедрить собственный код в репозиторий Blockfolio на GitHub и изменять само приложение.
Более того, хакеры могли бы получить специальный ключ, с помощью которого можно контролировать абсолютно весь репозиторий на GitHub. А это полный доступ к частным и общедоступным репозиториям, чтение/запись всего кода, доступ к статусам коммитов и другим проектам организации.
Уязвимость была открыта в течение двух лет. У Blockfolio нет программы вознаграждения за найденные ошибки, но Литвак все равно связался с разработчиками и рассказал о своей находке.
Разработчики сразу провели аудит своих систем, но не нашли никаких признаков внешнего вмешательства. Они быстро устранили уязвимость и сейчас Литвак смог рассказать о ней публично.