Kitörölte az összes kétfaktoros kódomat a Ravio OTP frissítése, és nagyon úgy néz ki, hogy lehetetlen visszaállítani őket, ha nem készült korábban biztonsági másolat róluk.
A Ravio OTP néhány éve még az egyik leginkább ajánlott kétfaktoros hitelesítő alkalmazás volt iOS-re, majd 2023 nyarán felvásárolta a Mobime nevű szoftverfejlesztő cég, ami már akkor adatvédelmi és adatbiztonsági aggályokat vetett fel az internetes közösségekben.
A kétfaktoros hitelesítés használata nagyon fontos, de elég kényelmetlen, sokan ezért nem elégednek meg az olyan egyszerű alkalmazásokkal, mint a Google Authenticator, vagy azért nem szeretnék használni, mert nem bíznak a Google-ben.
A hitelesítési mód elterjedése idején népszerű Authy kényelmet kínált: lehetőség volt a felhőbe menteni a kódokat, valamint a legfontosabb, hogy az eszközeink között automatikusan szinkronizálhattuk őket, amit egy egyszerűbb alkalmazás nem tesz lehetővé, azonban ezzel az appal kapcsolatban is kételyek vetődtek fel a céget ért kibertámadás óta.
A Ravio OTP egy nyílt forráskódú, ismert és megbízható alkalmazásnak számított a felvásárlás előtt, ráadásul akkoriban még egy kiberbiztonsági szakember, Tijme Gommers állt mögötte.
Fizetős funkció lett a biztonsági mentés, fotó: paranoidpenguin.net
Az alkalmazás 1.6-os verziójával érkezett a hiba, ami kitörölte az alkalmazásban tárolt kódokat, egy korábbi frissítés során pedig fizetőssé tették a felhőbe (iCloud) és a ZIP fájlba történő biztonsági mentést is.
Mivel az iOS nem teszi lehetővé, hogy mélyen a fájlrendszerben vagy a memóriában kutassunk, nem sok esélyük maradt a kódok visszaszerzésére azoknak, akik korábban nem készítettek biztonsági mentést.
Egy-egy alkalmazás frissítése mindig kockázatos, de szükséges, hiszen a sebezhetőségek és a hibák javítása nélkül sem biztonságos egy ilyen app használata.
A Ravio X oldalán közzétett legutóbbi bejegyzésben azt írják „… megoldották az import/export problémát …”, ami igencsak higgadt megfogalmazása annak, ami történt.
Nem voltak ilyen higgadtak a felhasználók a GitHubon, az eset kirobbanását követően sorra nyitották a hibajegyeket, tájékoztatást és megoldást követeltek, teljesen jogosan.
A fejlesztők válasza erre az volt, hogy kikapcsolták a hibajegyek funkciót, így nem lehet újat nyitni, de még a korábbiak megtekintésére sincsen lehetőség.
Miután elvesztetted a kódjaidat és kizártad magadat egy csomó fiókodból, kétségbeesetten előfizettél a Ravióra annak reményében, hogy majd visszakapod az adataidat, kiderült, hogy nem, és kereshetsz egy másik megoldást, no meg helyreállítási megoldásokat az elvesztett fiókokhoz. Remekül hangzik.
Az iOS-en is elérhető alkalmazások közül az Ente Authot javasolja az internet népe, ami hasonló pozitívumokkal rendelkezik, mint a régi Ravio. Nyílt forráskódú és szép, offline és végpontok közti titkosítással felhőben is működik, Androidon pedig továbbra is jó választás lehet az Aegis Authenticator.
Ez az eset rávilágít arra, hogy milyen fontosak a biztonsági mentések, pláne az ilyen, kulcsfontosságú adatok kapcsán. A legnagyobb cégeknél is előfordulhatnak hibák, ezt megtapasztalhattuk több mint egy hete az Apple pénzlevonások idején is.
A kiemelt kép Stefan Vögeli fotója, forrása a Pixabay.
