Mises à jour de sécurité

Statut
La discussion n'est pas ouverte à d'autres réponses
  • Initiateur de la discussion
  • Administration
  • #1
Seb

Seb

El Dictator
Membre du Staff
Messages
2 022
Score réaction
662
Points
370
Bonjour,

Il nous a été reporté la semaine dernière la découverte de 2 failles de sécurité sur mTxServ.
Nous avons immédiatement réagi, et appliqué les corrections adéquates.

Nous avons à coeur de protéger nos utilisateurs, en ce sens nous avons pris un certain nombre de mesures.


Possibilité d'éxécuter des appels API illégitimes
---

Un utilisateur dont le serveur avait expiré, pouvait exécuter des appels vers notre API une fois le serveur réassigné à un nouveau client et uniquement et précisément sur ce serveur.
Cela a été rendu possible par une vérification incorrecte au niveau du système d'autorisation de mTxServ. La faille a été comblée très rapidement.



Vérification des permissions sur les console live
---

Notre système de console live possédait une faille de sécurité, permettant à quiconque d'intercepter le stream de la console.
L'impact est minime sur vos serveurs, cela ne permettant pas d'exécuter d'actions sur celui-ci.

Nous avons effectué les corrections adéquates afin de résoudre ce problème de permissions.



Quelles mesures avons-nous prises ?
---

La sécurité de vos services est primordiale pour nous, en ce sens nous avons pris un certain nombre de mesures:
  • les clés API de tous nos clients ont été réinitialisées par sécurité, certaines ayant fuités par des techniques de social engineering (= personnes qui transmettaient d'une manière ou d'une autre leur clé API à une personne mal intentionnée).
  • nous avons revu le fonctionnement de l'authentification OAuth sur notre API, afin d'en améliorer la sécurité et le monitoring. Ces modifications ont nécessité la réinitialisation de tous les couples clientId / clientSecret.
  • nous avons ajouté la possibilité de révoquer vos clés API & OAuth via votre interface.

De plus, nous tenons à rappeler la mise en place récente de certaines fonctionnalités permettant d'accroitre la sécurité de vos comptes :
  • l'authentification 2 facteurs
  • l'historique des connexions à votre compte
  • l'historique des appels API


Après un audit interne nous avons pu déterminer que ces failles n'avait jamais été utilisés auparavant.
Nous tenons à souligner qu'aucune donnée personnelle sur nos clients n'a été impacté, ces systèmes étant totalement séparés.

Cordialement,
L'équipe mTxServ
 
Statut
La discussion n'est pas ouverte à d'autres réponses
Haut