Bitsign Security Disclosure
Marzo 2018.
Update 26/03: MongoDB confirmó que es un bug que afecta a las versiones < 3.5.7
Este es un breve reporte de los eventos de seguridad ocurridos el día Jueves 22/03/2018.
Durante una tarea de actualización para implementar nuevas features en la app de Bitsign, uno de los SysAdmins del equipo detectó inconsistencias en nuestro motor de base de datos.
Por tal motivo comenzamos una investigación pausando temporalmente la registración en la plataforma para asegurarnos ningún nuevo usuario pueda ser afectado.
Después de 48hs de comenzado el análisis se pudo detectar que debido a una falla en el parsing ciertos parámetros del daemon de MongoDB el motor fue expuesto aunque la configuración del mismo sea correcta.
Por tal motivo hemos abierto un issue con el equipo técnico de MongoDB lo cual creemos puede derivar en la detección de un bug en las versiones 3.4+ de la plataforma.
Al margen de estos eventos y siendo que la falla ha sido neutralizada, queremos informarle a todos los usuarios de los últimos 2 años de Bitsign que la base de datos fue diseñada de tal forma que ningun password o información sensible se encuentra alojada en texto plano. Todas las contraseñas se encuentran hasheadas y salteadas lo que no implica un riesgo inmediato de seguridad, además los keystore v3 alojados en nuestra base se encuentran cifrados con los passwords de usuario que no storeamos ni controlamos.
De todas formas creemos importante comunicar estos eventos e invitamos a los usuarios a monitorear las casillas usadas en nuestra plataforma en busca de posibles ataques de tipo pishing para evitar potenciales problemas de seguridad.
En caso de necesitar información adicional por favor comunicarse a team@bitsign.io
Incluiremos todas las futuras actualizaciones sobre este evento por este mismo medio y seguiremos trabajando para fortalecer aún más la plataforma y seguir brindando un servicio a la altura de las espectativas.
El equipo de Bitsign.
