tenemos recientemente aprendió sobre un problema que nos hizo usar una API de terceros para generar el código QR para la autenticación de dos factores. Hemos investigado este problema y queremos disculparnos sinceramente con nuestros clientes por permitir este error. Podemos asegurarle que AdGuard ya no usa la API de Google Charts ni ningún otro servicio de terceros para habilitar la capa de seguridad 2FA.
Cómo llegó todo a esto:
Si intentó configurar una autenticación de dos pasos para su cuenta de AdGuard, probablemente sepa cómo funciona: aparece un código QR en nuestro sitio web, que debe escanear con un administrador de contraseñas que admita 2FA para continuar.
El problema con este esquema, como bien se nos señaló en Reddit, era que el código QR solía generarse a través de un servicio de terceros, en nuestro caso, el API de gráficos de Googleque devolvió la imagen al usuario.
Por lo tanto, creamos efectivamente una laguna que permite que la dirección de correo electrónico de inicio de sesión del usuario y su contraseña de un solo uso basada en el tiempo (secreto TOTP) se envíen a la API de Google Charts.
Hay algunas buenas noticias, sin embargo. Primero, ya solucionamos el problema y ya no usamos ningún servicio de terceros para generar imágenes con códigos QR. En cambio, estamos generando los códigos QR directamente en la página con una biblioteca de JavaScript.
Segundo, reclamos de Google que su API de Google Charts no almacena ningún registro y es solo un servicio funcional que genera imágenes de acuerdo con los parámetros dados.
De todos modos, le recomendamos encarecidamente que vuelva a habilitar su 2FA si ya ha habilitado la autenticación de dos factores en su cuenta. Y si aún no ha habilitado 2FA, ahora es hora de que lo haga, ya que hará que su cuenta sea mucho más segura.
