biomednet
Schwarz Meister | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нашел 2 проблемы после покупки VPN от Adguard, связанные с безопасностью.
1 проблема.
Смена пароля в личном кабинете НЕ приводит к отмене авторизации (разлогиниванию) на ранее авторизованных устройствах с VPN .
Я сменил пароль несколько дней назад в личном кабинете, ноутбук и мобильник при этом естественно отключались. При этом VPN, несмотря на смену пароля, по-прежнему доступен в расширениях браузеров и в программе на андроиде в мобильном телефоне!
Если злоумышленник захватил мой логин/пароль, и я сменил пароль, злоумышленник продолжает пользоваться украденной услугой.
В большинстве известных мне сервисах смена пароля автоматически влечет выход.
Адгуард единственный, у кого сейчас не так.
Из техподдержки пришла отписка, что расширение и программа не содержат никакой информации обо мне. А значит, все хорошо. А что хорошего, если моей подпиской пользуются люди, которые не должны?
Написал им более подробно еще раз.
2 проблема
Смена пароля не требует кода 2FA при включенной 2FA.
После авторизации в личном кабинете логин/пароль + 2FA я решил сменить пароль.
К сожалению, система потребовала с меня только старый пароль, а код 2FA - НЕ потребовала.
На мой взгляд, все операции по смене номера телефона, почты, пароля, должны в обязательном порядке проходить через 2FA, если уж пользователь ее подключил. В почте требуют, по крайней мере.
1 вариант.
Не секрет, что злоумышленники могут выманивать доступ к банковским приложениям и операциям, включая одноразовый код. В этом отношении Adguard ничем не лучше/не хуже в плане возможности утери доступа через социальную инженерию.
2 вариант.
VPN включает в себя 5 слотов на 5 устройств.
Допустим, мне нужен только 1 или 2.
Оставшиеся слоты я бесплатно подарил лучшему другу, поскольку мне все равно так много не нужно.
Однако, допустим, друг оказался вдруг, не друг, а враг. И решил сменить пароль от личного кабинета.
Логин/пароль у него уже есть, а код 2FA ему уже не нужен. Профит? Профит.
А был бы запрос кода 2FA на смену пароля, хрен бы он его угнал.
Из техподдержки, к сожалению, пришла очередная отписка. Я понимаю, что сейчас сложное время, но можно было бы вместо 2 отписок сказать, что исправим скажем, через полгода.... Вместо того чтобы уверять, что все нормально.
П.С. Две отписки по проблемам безопасности - это как-то много
|
Всего записей: 2295 | Зарегистр. 12-08-2002 | Отправлено: 16:30 24-04-2022 | Исправлено: biomednet, 16:33 24-04-2022 |
|
Варезник » Поиск лечения для программ AdGuard
