Fides - это платформа для разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов о конфиденциальности …

Fides - это платформа для разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов о конфиденциальности данных в среде выполнения и обеспечения соблюдения правил конфиденциальности в коде. Центр конфиденциальности Fides позволяет субъектам данных отправлять запросы о конфиденциальности и согласии пользователям-контроллерам данных веб-приложения Fides. Запросы о конфиденциальности позволяют субъектам данных отправлять запрос на доступ ко всем персональным данным, хранящимся контроллером данных, или удалять/стирать их. Запрос согласия позволяет субъектам данных изменять свои предпочтения конфиденциальности в отношении того, как контроллер данных использует их персональные данные, например, согласие на продажу и передачу данных с возможностью отказа. Если `subject_identity_verification_required` в разделе `[execution]` файла `fides.toml` или переменная среды `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` установлена в `True` на серверной части веб-сервера fides, субъектам данных отправляется одноразовый код на их адрес электронной почты или номер телефона, в зависимости от конфигурации обмена сообщениями, и этот одноразовый код должен быть введен в пользовательском интерфейсе Центра конфиденциальности субъектом данных до отправки запроса о конфиденциальности или согласии. Было выявлено, что одноразовые коды для этих запросов генерируются модулем python `random`, криптографически слабым генератором псевдослучайных чисел (PNRG). Если злоумышленник сгенерирует несколько сотен последовательных одноразовых кодов, эта уязвимость позволит злоумышленнику предсказывать все будущие значения одноразовых кодов в течение всего времени жизни серверного процесса python. Нет никакого влияния на безопасность запросов на доступ к данным, поскольку пакет загрузки персональных данных не передается в самом Центре конфиденциальности. Однако эта уязвимость позволяет злоумышленнику (i) отправить подтвержденный запрос на удаление данных, что приведет к удалению данных для целевого пользователя, и (ii) отправить подтвержденный запрос согласия, изменяющий настройки конфиденциальности пользователя. Уязвимость была исправлена в версии Fides `2.24.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Известные обходные пути для этой уязвимости отсутствуют.