Blockfolio спокойно исправляет летнюю дыру в безопасности, которая раскрыла исходный код

«Это серьезно, но я подумал, что, может быть, это просто какой-то старый токен, который больше не используется, когда они запускались», — сказал Литвак. 

Ключ, он обнаружил, был еще активен.

«И я обнаружил, что нет, токен все еще активен и имеет OAuth Scope« репо », — сказал он. «Область действия OAuth» используется для ограничения доступа приложения к учетной записи пользователя.

«Репо», согласно GitHub, предоставляет полный доступ к частным и общедоступным репозиториям и включает в себя доступ на чтение / запись к коду, статусам коммитов и проектам организации, среди прочих функций.

«Он использовал личные учетные данные для доступа к своему хранилищу частного кода», — сказал Литвак. «Любой, кто был достаточно любопытен, чтобы перепроектировать старое приложение Blockfolio, мог бы воспроизвести его, загрузить весь код Blockfolio и даже вставить свой вредоносный код в свою базу кода. У вас не должно быть личных учетных данных в приложениях, которые каждый может загрузить».

Уязвимость была публичной в течение двух лет, и дыра все еще оставалась открытой. Литвак предупредил Blockfolio об этой проблеме через социальные сети, учитывая, что в Blockfolio нет программы за вознаграждение, чтобы устранить уязвимости. 

Соучредитель и генеральный директор Blockfolio Эдвард Монкада подтвердил в электронном письме CoinDesk, что токен доступа GitHub был ошибочно оставлен в предыдущей версии кодовой базы приложения Blockfolio, и когда он получил предупреждение об уязвимости, Blockfolio аннулировал доступ к ключу.