Coinbase niega informes de filtración de datos y aborda preocupaciones de seguridad

El proveedor de billeteras Bitcoin con sede en San Francisco, Coinbase, respondió formalmente a las preocupaciones de la comunidad relacionadas con una función de diseño de su servicio "Request dinero" el 1 de abril, en medio de informes que sugerían que este servicio podría ser mal utilizado por estafadores y phishers.

La respuesta se emitió después de que apareciera una entrada de Pastebin que sugería que aproximadamente 2.000Nombres y correos electrónicos de los clientes de Coinbasese vieron comprometidos como parte de una "violación de datos" del sitio, rumores que provocaron una amplia especulación en Reddit y las redes sociales.

En declaraciones a CoinDesk, la compañía aclaró que, si bien cierta información personal de los usuarios se publicó en línea, el incidente no constituyó una filtración de datos, sino una explotación de una función común en los servicios tecnológicos más populares. Los usuarios malintencionados, señaló, pueden usar una dirección de correo electrónico para determinar si alguien tiene una cuenta en otros servicios de pago como PayPal, Square Cash y Venmo, un proceso denominado enumeración de correos electrónicos.

Escribió la empresaen su respuesta oficial:

Si bien creemos que este tipo de spam y actividad de enumeración de usuarios no representa un riesgo significativo para los clientes de Coinbase, reconocemos que puede ser un inconveniente y generar confusión.

La función "Request Dinero" de Coinbase permite a los usuarios Request fondos ingresando una dirección de correo electrónico. Si el destinatario es usuario de Coinbase, el sitio web genera un correo electrónico de respuesta con su nombre y apellidos, siempre que haya usado su nombre real para registrarse en el servicio.

Coinbase no requiere que sus usuarios proporcionen nombres reales e indica en su Regulación de Privacidad que pone dicha información a disposición.

Sin embargo, al menos un funcionario de seguridad ha expresado su preocupación de que dicha información podría ser utilizada por partes maliciosas para cometer fraudes mayores.

Origen de la disputa

Esta funcionalidad fue revelada a la comunidad de Bitcoin por el investigador de seguridad con sede en Australia Shubham Shah, quien publicó sus frustracionesen su blog. Esa publicación detallaba un proceso paso a paso sobre cómo realizar la enumeración de correos electrónicos usando Coinbase y criticaba a la empresa por no tomar medidas para abordar sus preocupaciones.

Coinbase revisó la "falla de diseño" presentada por Shah, pero le informó que no buscaría implementar una solución ni otorgar una recompensa por el hallazgo. Por ello, decidió publicar la reclamación en su blog.

Según una cronología publicada por Shah, el desarrollador contactó por primera vez con Coinbase el 28 de febrero. Esta comunicación formó parte de una serie de intercambios que finalizaron el 31 de marzo, cuando, según Shah, Coinbase confirmó que había cerrado su informe de error.

En declaraciones a CoinDesk, Shah indicó que, como investigador de seguridad, sentía la responsabilidad de informar a la comunidad sobre el problema para que se abordara. Además, afirmó no tener ninguna relación con la posterior publicación en PasteBin de los nombres y correos electrónicos de los clientes.

La respuesta de Coinbase

La publicación del blog de Coinbase explicó que, a pesar de las afirmaciones que circulan en línea, la función de diseño fue intencional y buscaba aumentar la usabilidad de su servicio. Además, indicó que no implementar un límite en la cantidad de correos electrónicos que se pueden generar a través de su servicio responde a un caso de uso específico.

Dijo Coinbase:

Permitir la facturación de listas es una funcionalidad CORE de nuestro servicio, y está integrada intencionalmente en nuestra API.

En un mensaje fechado el 31 de marzo, un representante de Coinbase ofreció la evaluación interna de la empresa a Shah a través deHackerOne, una organización en línea de expertos en seguridad que coordina recompensas para los piratas informáticos que contribuyen a una Internet más segura.

No consideramos que los errores de existencia de cuentas tengan la gravedad suficiente para nuestro alcance. Este comportamiento es principalmente informativo para un atacante y no aumenta el riesgo directamente de forma significativa. Podríamos considerar actualizar este comportamiento en el futuro, pero no creemos que amerite una recompensa.

El representante explicó que permitir la facturación de listas era un aspecto clave de su servicio y que "no sería más eficaz que los métodos de phishing más tradicionales, a los que dedicamos una cantidad considerable de tiempo para prevenir".

Ataques improbables

En su blog, Coinbase indicó que solo un número muy pequeño de usuarios (menos del 0,5 %) fueron identificados en la publicación de datos de hoy. Además, explicó por qué considera que tales ataques son extremadamente improbables.

Según Coinbase, «esta lista de correos electrónicos probablemente proviene de otros sitios, posiblemente relacionados con Bitcoin».

La compañía dijo que los usuarios maliciosos tendrían que primero adquirir direcciones de correo electrónico, que no están disponibles públicamente en línea, y luego enviar dinero a destinatarios quienes, a su vez, tendrían que elegir enviar dinero a usuarios desconocidos.

Shah indicó que la falla de diseño es importante debido a la naturaleza del diseño de Bitcoin.

No se trata de una cuenta normal. Se trata de una cuenta que contiene moneda digital, que es irreversible. Es un poco más serio.

Coinbase reconoció esta preocupación, aunque dijo que cree que representa un riesgo de fraude bajo y es más amenazante para los usuarios como un problema de spam.

Coinbase indicó en su publicación de blog que toma en serio el problema del spam y señaló que emplea límites de velocidad en acciones sensibles, como solicitar dinero, para que no se abuse de ellas ampliamente.