Công ty an ninh mạng Wiz Research đã tiết lộ một lỗ hổng quan trọng trong Base44, nền tảng mã hóa Vibe”gần đây được mua lại bởi trang web khổng lồ Wix. Lỗ hổng, được tiết lộ công khai vào ngày 29 tháng 7 SSO. Wix, mà Lỗ hổng được phát hiện bởi Wiz Research đã đáng báo động về tính đơn giản của nó, xuất phát từ các giám sát cơ bản trong bảo mật API. Trong một công bố kỹ thuật chi tiết , công ty đã giải thích sự kiểm tra lại của nó bằng cách lập bản đồ. Công cụ này, được thiết kế để giúp các nhà phát triển tương tác với API, cung cấp hiệu quả một lộ trình cho các hoạt động bên trong nền tảng. Điều này có nghĩa là bất kỳ ai trên internet đều có thể gọi chức năng để đăng ký người dùng mới cho một ứng dụng, ngay cả đối với các ứng dụng riêng tư trong đó đăng ký được cho là bị vô hiệu hóa hoặc giới hạn đối với doanh nghiệp đăng nhập đơn (SSO). Wiz nhận thấy nó có thể dễ dàng có được từ đường dẫn URL của ứng dụng hoặc tệp kê khai có thể đọc được công khai của nó. Một đường dẫn tấn công rất đơn giản: Tìm một id ứng dụng, sử dụng API bị lộ để đăng ký email, xác minh tài khoản bằng mật khẩu một lần được gửi đến email đó và có quyền truy cập. Kẻ tấn công có thể đã tạo ra một tài khoản đã được xác minh”. Điều này đã khiến tất cả các dự định bảo mật của Base44 điều khiển vô dụng, cho phép bỏ qua hoàn toàn phương pháp xác thực an toàn nhất. Bởi vì tất cả các ứng dụng khách hàng chạy trên cùng một nền tảng cơ bản, mỗi người thuê đều thừa hưởng tư thế bảo mật của nhà cung cấp. Như Nagli đã lưu ý, một lỗ hổng duy nhất trong nền tảng Lõi, đặc biệt là trong một thành phần quan trọng như xác thực, ngay lập tức gây nguy hiểm cho mọi ứng dụng được xây dựng trên nó.”Điều này biến một lỗi đơn giản thành một thảm họa nhiều người thuê tiềm năng.
May mắn thay, phản ứng của Wix đã nhanh chóng và quyết đoán. Sau khi Wiz tiết lộ một cách có trách nhiệm về lỗ hổng vào ngày 9 tháng 7, nhóm bảo mật của công ty đã phát triển và triển khai một bản sửa lỗi trên toàn bộ nền tảng Base44 trong vòng chưa đầy 24 giờ. Target=”_ Blank”> nêu rõ , chúng tôi đã điều tra và cho đến nay, không tìm thấy bằng chứng nào cho thấy bất kỳ khách hàng nào bị ảnh hưởng bởi kẻ tấn công tận dụng lỗ hổng. Cuộc điều tra của chúng tôi đang diễn ra khi chúng tôi tiếp tục coi trọng vấn đề này.”Theo bản vá, các nhà nghiên cứu Wiz đã xác minh độc lập, việc sửa chữa có hiệu lực, xác nhận rằng các nỗ lực đăng ký trái phép đối với các ứng dụng riêng không còn có thể nữa. AI mã hóa vàng vội vàng. Tiền đề của thuật ngữ mã hóa rung cảm”, thuật ngữ được sử dụng để mô tả sự phát triển trong đó người dùng tin tưởng AI để tạo mã mà không cần giám sát thủ công, tạo ra một bãi mìn của những rủi ro không lường trước được. Khi các tác nhân AI này có thể trực tiếp thực hiện các lệnh, một ảo giác đơn giản có thể dẫn đến những hậu quả thảm khốc, không thể đảo ngược.
