Сервис Keybase мог скомпрометировать данные своих клиентов
Сервис Keybase, который предлагает клиентам средства для защищенной переписки в социальных сетях, мог скомпрометировать данные пользователей через систему резервного копирования Google. Из-за ошибки разработчиков на серверы загружался закрытый ключ, который должен оставаться известным только владельцу зашифрованных данных.
Система позволяет пользователям подтверждать личность при общении в социальных сетях и проведении электронных платежей. Keybase работает на мобильных устройствах и персональных компьютерах с ОС Windows, MacOS и Linux, а список поддерживаемых сервисов включает Twitter, Facebook, Reddit, Github и другие. В основе решения лежат технологии асимметричного шифрования — открытый ключ публикуется в профиле, закрытый хранится у пользователя или на серверах компании.
Обнаруженная ошибка позволяла злоумышленникам узнать второй ключ, взломав Google-аккаунт пользователя. В результате они могли выступать от лица жертвы в привязанных к профилю социальных сетях и закрытых сервисах Keybase — чатах и облачных хранилищах.
По данным компании, под угрозой оказались 10% пользователей Android-приложения Keybase, использовавших его бета-версию. Разработчики уже исправили ошибку и разослали письмо с инструкциями, как восстановить должный уровень безопасности. Компания отмечает, что закрытый ключ, который мог попасть в бэкап Android, дополнительно защищен специальным паролем Keybase (так называемая пассфраза, или passphrase).
Из-за того, что угроза была не очень высокой, многие клиенты полагали, что это одна из функций, которая позволяла им легко переходить от одного Android-устройства к другому. Тем не менее, разработчики подчеркнули, что не планировали предоставлять такую возможность и для каждого нового устройства следует создавать собственный приватный ключ. Эта практика защищает пользователей, которые используют слабые пароли и пассфразы, — взлом Google-аккаунта и загрузка резервной копии на новое устройство не откроет злоумышленнику доступ к приватному ключу.
Чтобы защитить свои данные, пользователям Android-приложения Keybase следует обновить его до последней версии и создать новую пару ключей. Старая при этом перестанет действовать, поэтому резервную копию на серверах Google обновлять не обязательно.