Desleixo vs. Rigor na Criptografia

Pesquisadores da Trail of Bits identificaram que os amplamente utilizados pacotes pyaes e aes-js empregavam Initialization Vectors (IVs) padrão em suas documentações, o que pode levar a aplicações vulneráveis. A equipe contatou ambos os projetos, mas não obteve resposta, descobrindo que os mantenedores do pyaes haviam ignorado um chamado sobre a vulnerabilidade em 2022.

Em contraste, a resposta da StrongMan VPN foi destacada. Após ser notificada sobre o uso da biblioteca pyaes vulnerável, a VPN substituiu integralmente a biblioteca e migrou para o modo GCM-SIV do AES, considerado mais seguro.