Компания WiZ по безопасности обнаружила существенный недостаток в платформе разработки Base44 vibe от WiX. Этот изъян позволял потенциальным злоумышленникам обходить аутентификацию и достигать частных корпоративных приложений без надлежащего разрешения. Простота нахождения предположительно секретного идентификатора приложения и его использование для несанкционированного доступа подчеркивают серьезность данной уязвимости.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Раскрытый конфиденциальный идентификационный номер
Уникальный идентификатор, известный как ‘app_id’, был внесен в общедоступные места, такие как URL приложения и файл манифеста. Если злоумышленник завладел этой информацией, он потенциально мог создать верифицированный аккаунт даже тогда, когда обычная регистрация пользователей была запрещена. Данный метод обошел меры безопасности платформы, включая систему единого входа (Single Sign-On, SSO), которая обычно используется для защиты корпоративного уровня в различных организациях.
При доступе к приложению, созданному с помощью Base44, уникальный идентификатор приложения, или app_id, четко отображается как в URI, так и в местоположении файла manifest.json. Во всех случаях значение этого app_id внутри пути манифеста каждого приложения заранее установлено как manifests/[app_id]/manifest.json.
Создать учетную запись было относительно несложно.
После этого вход в систему с использованием процедуры единого входа в приложении обеспечил полный доступ к внутренним системам, даже если первоначальный доступ был ограничен только определенными пользователями или группами. Этот метод выявил значительную уязвимость платформы, поскольку предполагалось, что ‘app_id’ не будет изменен или повторно использован за пределами предполагаемого контекста.
Уязвимость аутентификации подвергла риску раскрытия конфиденциальные данные
Значительное количество затронутых приложений было создано на широко используемой платформе кодирования Base44, которую мы применяем для внутренних функций, таких как процессы HR, чат-боты и базы знаний. Эти системы содержали персонально идентифицируемую информацию (PII) и в основном использовались для целей HR. Уязвимость позволила хакерам обойти меры безопасности и получить несанкционированный доступ к нашим корпоративным приложениям, потенциально допуская утечку конфиденциальных данных.
Wix устраняет недостаток в течение 24 часов
Облачная служба безопасности выявила уязвимость путем систематического анализа общедоступных данных на предмет возможных слабых мест. Это позволило им обнаружить открытые идентификаторы приложений и разработать процедуру предоставления доступа к аккаунтам. Впоследствии они связались с компанией WiX, которая оперативно устранила проблему.
Согласно недавно опубликованному отчету от охранного агентства, представляется, что выявленная проблема не была использована злоумышленниками, и они успешно устранили основную уязвимость.
Угроза Целым Экосистемам
В соответствии с анализом безопасности Wiz, быстро растущий метод ‘вибе кодирование’ может представлять «системные риски», не только для конкретных приложений, но и для всех сетей или систем в целом. Обеспокоенность возникает из-за недостатка времени для решения потенциальных проблем безопасности, связанных с этим методом.
Почему произошел этот инцидент безопасности?
Wix утверждает, что активно работает над безопасностью
В отчете опубликовано заявление компании Wix, в котором говорится, что они уделяют приоритетное внимание вопросам безопасности:
Мы постоянно вкладываем ресурсы в повышение безопасности всех наших продуктов, устраняя потенциальные уязвимости до того, как они станут проблемами. Будьте уверены, мы уделяем первостепенное внимание безопасности и конфиденциальности наших пользователей и их информации.
Охранная компания заявляет, что обнаружение ошибки было простым.
Согласно отчету Виза, они считают обнаружение довольно простым, подробно описывая использованный ими подход: пассивное и активное сканирование поддоменов, оба из которых являются легко доступными методами.
Основной проблемой этой уязвимости в системе безопасности была её доступность — для её эксплуатации достаточно было владеть базовыми навыками работы с API. Такая простота использования позволяла злоумышленникам потенциально взламывать множество приложений на платформе, не требуя высокой технической квалификации.
Само существование такого отчета говорит о беспокойстве: если выявление проблемы было относительно простым, а использование ее возможностей требовало минимальных усилий, то почему Wix, будучи проактивным, не обнаружил эту проблему раньше?
- Если бы они использовали стороннюю компанию для тестирования безопасности, почему они не обнаружили общедоступные номера app_id?
- Обнаружение манифеста json тривиально. Почему это не было выявлено во время аудита безопасности?
Очевидное противоречие между обнаруженной уязвимостью и утверждением Wix о продвинутой стратегии безопасности ставит законный вопрос относительно полноты или эффективности их превентивных мер. Этот пересказ сохраняет оригинальный смысл, но использует более простой разговорный язык для лучшего понимания читателями.
Выводы:
- Простота обнаружения и эксплуатации уязвимости: Эта уязвимость могла быть найдена и использована с помощью простых инструментов и общедоступной информации, не требуя продвинутых навыков или инсайдерского доступа.
- Обходя корпоративные ограничения: злоумышленники могут получить полный доступ к внутренним приложениям, несмотря на меры контроля, такие как отключенная регистрация и ограничения по аутентификации через единый вход.
- Системный риск от вибрационного кодирования: WiZ предупреждает, что платформы быстрого вибрационного кодирования могут привести к широкому распространению рисков безопасности в экосистемах приложений.
- Несоответствие между заявлениями и реальностью: Лёгкость эксплуатации контрастирует с утверждениями Викса о проактивной безопасности, вызывая вопросы относительно тщательности их аудита безопасности.
Wiz обнаружил важную уязвимость в платформе кодирования Base44 на системе разработки vibe компании Wix. Эта слабость могла бы позволить хакерам обойти аутентификацию и получить доступ к внутренним корпоративным приложениям без соответствующего разрешения. Специалисты по безопасности, обнаружившие этот недостаток, считают, что данный инцидент подчеркивает потенциальные опасности игнорирования адекватных мер безопасности, так как такие упущения могут угрожать целостности всей системы.
Прочитайте исходный отчет:
Исследователи Wiz обнаружили критическую уязвимость в системе кодирования AI Vibe, Base44, которая позволяет несанкционированным пользователям получать доступ к конфиденциальным приложениям.
Смотрите также
- Анализ динамики цен на криптовалюту BTC: прогнозы биткоина
- Акции PHOR. ФосАгро: прогноз акций.
- Золото прогноз
- Акции UWGN. ОВК: прогноз акций.
- 5 Способов Доказать Реальную Ценность SEO в Эру Искусственного Интеллекта
- Google: Клики на сайты остаются относительно стабильными с обзорами ИИ (Есть ли изъяны?)
- Генеративный искусственный интеллект и социальные сети: переосмысление создания контента
- Коварные крипто-законопроекты — переживут ли ваши монеты?
- Какой самый низкий курс евро к йене?
- Какой самый низкий курс доллара к гривне?
2025-07-31 13:09