A empresa de segurança cibernética Wiz Research revelou uma vulnerabilidade crítica na Base44, a plataforma “codificação da vibração” adquirida recentemente pela gigante do site Wix. A falha, divulgada publicamente em 29 de julho , o acesso não autorizado, que não foi possível, o que pode ser explicado. Wix, que A vulnerabilidade descoberta pela Wiz Research foi alarmante em sua simplicidade, decorrente de supervisões fundamentais na segurança da API. Em uma divulgação técnica detalhada , a empresa explicou seu reconhecimento de mapeamento de mapeamento de 44 domínios públicos, que levou à descoberta de uma descoberta de uma descoberta publicada. Essa ferramenta, projetada para ajudar os desenvolvedores a interagir com as APIs, forneceu efetivamente um roteiro para o funcionamento interno da plataforma. Isso significava que qualquer pessoa na Internet poderia chamar a função para registrar um novo usuário para um aplicativo, mesmo para aplicativos particulares onde as inscrições deveriam ser desativadas ou restritas ao SOP (Enterprise Single Sign-On (SSO). O Wiz descobriu que era facilmente obtido a partir do caminho URL do aplicativo ou de seu arquivo manifest.json legível publicamente. O caminho de um invasor foi direto: encontre o ID de um aplicativo, use a API exposta para registrar um email, verifique a conta com a senha única enviada para esse email e obtenha acesso. O atacante poderia ter criado uma conta verificada…”. Isso efetivamente tornou inútil todos os controles de privacidade pretendidos da Base44, permitindo um desvio completo de seu método de autenticação mais seguro. Como todos os aplicativos de clientes são executados na mesma base subjacente, todo inquilino herda a postura de segurança do fornecedor. Como Nagli observou,”uma única falha no núcleo da plataforma, especialmente em um componente crítico como a autenticação, prejudica instantaneamente todos os aplicativos criados sobre ela”. Isso transforma um bug simples em uma potencial catástrofe multifinante. Felizmente, a resposta de Wix foi rápida e decisiva. Depois que o Wiz divulgou com responsabilidade a vulnerabilidade em 9 de julho, a equipe de segurança da empresa desenvolveu e implantou uma correção em toda a plataforma Base44 em menos de 24 horas. Target=”_ Blank”> afirmando ,”Investigamos e, até agora, não encontramos evidências de que qualquer cliente tenha sido impactado por um invasor que alavancava a vulnerabilidade. Nossa investigação está em andamento enquanto continuamos a levar esse assunto a sério”. Seguindo o patch, os pesquisadores do WIZ verificaram independentemente a correção foi eficaz, confirmando que as tentativas de registro não autorizadas em aplicações privadas não eram mais possíveis. A AI codificando a corrida do ouro. A premissa de “codificação de vibração”-um termo usado para descrever o desenvolvimento em que os usuários confiam na IA para gerar código sem supervisão manual-cria um campo minado de riscos imprevistos. Quando esses agentes de IA podem executar diretamente os comandos, uma simples alucinação pode levar a consequências catastróficas e irreversíveis.
Categories: IT Info
