Coinbase revela un fallo de contraseña que afecta a 3.500 clientes

La plataforma de intercambio de Cripto Coinbase reveló una posible vulnerabilidad el viernes, anunciando que una pequeña fracción de las contraseñas de sus clientes se almacenaba en texto plano en un registro interno del servidor. Sin embargo, la información no fue accedida indebidamente por terceros, según la plataforma.

En unautopsia En un informe compartido con CoinDesk, Coinbase describió "un problema de almacenamiento de contraseñas" que afectó a menos de 3.500 clientes (de más de 30 millones en todo el mundo) y que provocó brevemente que información personal, incluidas las contraseñas, se almacenaran en texto sin cifrar en sistemas de registro internos.

"En una situación de error muy específica y RARE , el formulario de registro en nuestra página de registro no cargaba correctamente, lo que significaba que cualquier intento de crear una nueva cuenta de Coinbase en esas condiciones fallaba", explicaba la publicación. "Desafortunadamente, esto también implicaba que el nombre, la dirección de correo electrónico y la contraseña propuesta (y el estado de residencia, si se encontraba en EE. UU.) del usuario se enviaban a nuestros registros internos".

En 3420 casos, los clientes potenciales usaron la misma contraseña en su segundo intento de registro, el cual habría sido exitoso, pero resultaría en una contraseña que coincidía con la versión cifrada en los registros de la empresa. Coinbase notificó a estos clientes por correo electrónico el viernes.

El error se produjo debido al uso por parte de Coinbase de la renderización del lado del servidor de React.js en la página de registro. En esencia, cuando un usuario visita la página para crear una cuenta, React ayuda a mostrar el formulario que debe completarse.

"Cualquier usuario que intente registrarse debe tener JavaScript habilitado y que este se cargue correctamente", explicó la publicación, y agregó:

En prácticamente todas las circunstancias, ambas cosas son ciertas, y React gestiona la validación y el envío del formulario al servidor. Sin embargo, si un usuario tenía JavaScript desactivado o su navegador recibía un error de React.js al cargar, había suficiente HTML pre-renderizado para que el usuario pudiera completar e intentar enviar nuestro formulario de registro.

Dado que el formulario HTML era extremadamente básico, no se configuraron los atributos "acción" ni "método". Debido a los comportamientos predeterminados, algunos navegadores usaron "GET" de forma predeterminada, lo que codificaba las variables del formulario como parte de los datos de registro.

El intercambio solucionó el problema cambiando el método de formulario predeterminado a "POST" para garantizar que los datos ya no se registren.

Si bien Coinbase buscó otras formas "con ese comportamiento problemático", el exchange no identificó ninguna.

"También estamos en el proceso de implementar mecanismos adicionales para detectar y prevenir la introducción inadvertida de este tipo de error en el futuro", dijo elentrada de blog dicho.

En respuesta al Explora, Coinbase dijo que rastreó las distintas ubicaciones donde podrían almacenarse los registros, lo que incluía un sistema alojado en Amazon Web Services y algunos "proveedores de servicios de análisis de registros".

"Una revisión exhaustiva del acceso a estos sistemas de registro no reveló ningún acceso no autorizado a estos datos", decía la publicación, y añadía que el acceso a cada uno de los sistemas está "estrictamente restringido y auditado".

Coinbase afirmó que también ha activado el restablecimiento de contraseñas para cualquier persona cuya cuenta se haya visto afectada. (La publicación del blog añadió que requiere autenticación de dos factores, además de la contraseña, para que los usuarios puedan iniciar sesión en sus cuentas).

"Si bien confiamos en haber corregido la causa raíz y en que la información registrada no fue accedida, utilizada indebidamente ni comprometida, exigimos a dichos clientes que cambien sus contraseñas como medida de precaución", explicó la publicación.

"Como recordatorio, Coinbase también mantiene una relación activaprograma de recompensas por errores en HackerOne, que ha pagado más de un cuarto de millón de dólares hasta la fecha. Si bien este error en particular se descubrió internamente, invitamos a los investigadores de seguridad a enviar informes siempre que consideren haber descubierto una falla en ONE de nuestros sistemas", concluyó la plataforma.

La Aviso legal de Coinbase llega tras las filtraciones de datos sufridas por Binance y Huobi. A diferencia de Coinbase, Binance y Huobi parecen haber perdido el control de los datos de sus clientes, incluyendo los documentos de verificación de identidad.

Imagen de Brian Armstrong vía archivos de CoinDesk