- Peneliti menemukan system “pengkodean getaran” Base 44 berisi cacat keamanan
- Ini memungkinkan aktor ancaman untuk mengakses data yang harus bersifat pribadi
- Pest itu terjepit dalam waktu 24 jam tanpa tanda -tanda pelecehan
Platform pengkodean getaran Base 44 berisi kerentanan keamanan utama yang dapat memungkinkan pengguna yang tidak berwenang untuk mengakses aplikasi pribadi orang lain, para ahli telah memperingatkan.
Masalah ini ditemukan pada awal Juli 2025 oleh pro keamanan dari Wiz Study, yang menjelaskan bagaimana titik akhir API yang diekspos pada system Base 44 memungkinkan para aktor ancaman untuk membuat akun terverifikasi pada aplikasi pribadi menggunakan tidak lebih dari APP_ID, sepotong kode yang terlihat publik.
Biasanya, sistem otentikasi meminta kredensial yang kuat, dan sarana verifikasi identitas, tetapi pengaturan Base 44 tampaknya memungkinkan siapa pun melewati cek tersebut menggunakan hanya satu kode. Orang bisa menganggapnya seperti muncul di gedung kantor yang terkunci, berteriak “Aku di sini untuk App_id 12345, dan pintu akan terbuka – tidak ada pertanyaan yang diajukan.
Pengkodean getaran
Penyerang dapat dengan mudah mengambil app_id dari file publik, dan menggunakannya untuk “mendaftar” melalui rute API tanpa jaminan, mengakses aplikasi yang menangani data karyawan yang sensitif dan komunikasi perusahaan.
Kerentanan dapat memengaruhi aplikasi perusahaan yang menangani SDM dan informasi yang dapat diidentifikasi secara pribadi (PII), chatbot internal dan basis pengetahuan, serta alat otomatisasi yang digunakan dalam operasi sehari-hari.
Setelah Wiz menemukan cacat itu, itu menjangkau ke Wix, perusahaan yang memiliki Base 44, yang memperbaikinya dalam satu hari.
Wix menambahkan tidak menemukan tanda -tanda pelecehan oleh aktor ancaman. Para peneliti juga mengidentifikasi aplikasi yang rentan dan menjangkau beberapa perusahaan yang terkena dampak secara langsung.
Getaran pengkodean adalah istilah slang yang relatif baru untuk pengkodean dengan bantuan AI generatif dan melalui bahasa alami daripada menulis kode aktual. Seorang pengembang akan membahas ide -ide dan kebutuhan mereka dengan AI, yang akan kembali dengan kode. Ini telah mendapatkan banyak popularitas akhir -akhir ini, tetapi berita seperti ini menyoroti bahwa metode ini bukan tanpa risiko.
Karena infrastruktur latar belakang dibagikan, selalu ada risiko bocor informasi di suatu tempat.
Melalui Majalah Infosecurity
