Поделиться этой статьей
BTC
$104,255.06
+
0.95%ETH
$2,511.87
+
0.78%USDT
$1.0003
-
0.00%XRP
$2.1608
+
2.43%BNB
$655.81
+
1.16%SOL
$155.13
+
1.64%USDC
$0.9997
-
0.01%DOGE
$0.1895
+
0.52%TRX
$0.2671
+
0.67%ADA
$0.6781
+
1.54%HYPE
$32.57
+
4.93%SUI
$3.2401
+
4.41%LINK
$13.87
+
2.07%AVAX
$20.71
+
3.50%XLM
$0.2643
+
1.00%BCH
$412.10
+
4.53%LEO
$8.6734
-
0.68%TON
$3.1653
+
5.21%SHIB
$0.0₄1276
+
2.49%HBAR
$0.1669
+
2.57%Mag-sign Up
- Bumalik sa menu
- Bumalik sa menuMga presyo
- Bumalik sa menuPananaliksik
- Bumalik sa menu
- Bumalik sa menu
- Bumalik sa menu
- Bumalik sa menu
- Bumalik sa menu
- Bumalik sa menuMga Webinars at Events
Tinatanggihan ng Coinbase ang Mga Ulat ng Paglabag sa Data, Tinutugunan ang Mga Alalahanin sa Seguridad
Ang Coinbase ay tumugon sa mga paratang na ang serbisyo nito ay may depekto na nagbibigay-daan sa mga user na bukas sa panloloko at spam.
Ang provider ng Bitcoin wallet na nakabase sa San Francisco na Coinbase ay pormal na tumugon sa mga alalahanin ng komunidad na may kaugnayan sa isang function ng disenyo ng serbisyong ' Request ng Pera' nito noong ika-1 ng Abril, sa gitna ng mga ulat na nagmumungkahi na ang serbisyong ito ay maaaring gamitin sa maling paraan ng mga phisher at manloloko.
Ang tugon ay inilabas matapos lumabas ang isang Pastebin entry na nagmumungkahi na humigit-kumulang 2,000 Mga pangalan at email ng customer ng Coinbase ay nakompromiso bilang bahagi ng isang "data breach" ng site, mga tsismis na nagdulot ng malawakang haka-haka sa reddit at social media.
Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto Daybook Americas сегодня. Просмотреть все рассылки
Sa pagsasalita sa CoinDesk, nilinaw ng kumpanya na, bagama't ang ilang personal na impormasyon ng user ay nai-post online, ang kaganapan ay hindi isang paglabag sa data, ngunit sa halip ay isang pagsasamantala ng isang tampok na karaniwan sa mga sikat na serbisyo ng tech. Ang mga nakakahamak na user, ayon dito, ay maaaring gumamit ng isang email address upang matukoy kung ang isang tao ay may account sa iba pang mga serbisyo sa pagbabayad tulad ng PayPal, Square Cash at Venmo - isang proseso na tinatawag na email enumeration.
Isinulat ang kumpanya sa opisyal na tugon nito:
"Kahit na naniniwala kami na ang ganitong uri ng spam at aktibidad ng pag-enumeration ng user ay T kumakatawan sa isang malaking panganib sa mga customer ng Coinbase, lubos naming kinikilala na maaari itong maging isang abala at magdulot ng kalituhan."
Ang tampok na Request Money ng Coinbase ay nagbibigay-daan sa mga user na Request ng mga pondo sa pamamagitan ng paglalagay ng email address. Kung ang tatanggap ay isang user ng Coinbase, ang website ay bubuo ng return email na kumpleto sa pangalan at apelyido ng indibidwal, sa kondisyon na ginamit nila ang kanilang tunay na pangalan upang magparehistro sa serbisyo.
Hindi hinihiling ng Coinbase ang mga user nito na magbigay ng mga tunay na pangalan, at isinasaad sa Policy sa Privacy nito na ginagawang available ang naturang impormasyon.
Gayunpaman, hindi bababa sa ONE opisyal ng seguridad ang nagpahayag ng pagkabahala na ang naturang impormasyon ay maaaring gamitin ng mga malisyosong partido upang makagawa ng mas malaking pandaraya.
Pinagmulan ng hindi pagkakaunawaan
Ang pagpapaandar na ito ay dinala sa liwanag sa komunidad ng Bitcoin sa pamamagitan ng Australia-based security researcher na si Shubham Shah, na nagpost ng kanyang mga frustrations sa kanyang blog. Ang post na iyon ay nagdetalye ng sunud-sunod na proseso kung paano magsagawa ng email enumeration gamit ang Coinbase, at binatikos ang kumpanya sa hindi paggawa ng mga hakbang upang matugunan ang kanyang mga alalahanin.
Sinuri ng Coinbase ang "kapintasan sa disenyo" tulad ng isinumite ni Shah, ngunit ipinaalam sa kanya na hindi ito naghahanap upang ipatupad ang isang pag-aayos o mag-isyu ng gantimpala para sa paghahanap. Dahil dito, nagpasya siyang i-publish ang claim sa kanyang blog.
Ayon sa timeline na nai-post ni Shah, unang nakipag-ugnayan ang developer sa Coinbase noong ika-28 ng Pebrero. Ang komunikasyon ay bahagi ng isang serye ng mga sulat na natapos noong ika-31 ng Marso, nang ipahiwatig ni Shah na kinumpirma ng Coinbase na isinara nito ang kanyang ulat sa bug.
Sa pagsasalita sa CoinDesk, ipinahiwatig ni Shah na bilang isang security researcher, nadama niya ang responsibilidad na dalhin ang isyu sa komunidad upang ito ay matugunan. Dagdag pa, inangkin niya na walang kaugnayan sa kasunod na pag-post ng PasteBin ng mga pangalan ng customer at email address.
Ang tugon ng Coinbase
Ipinaliwanag ng post sa blog ng Coinbase na sa kabila ng mga pag-aangkin na nagpapalipat-lipat online, ang tampok na disenyo ay sinadya, at nilayon upang mapataas ang kakayahang magamit ng serbisyo nito. Dagdag pa, sinabi nito na ang hindi pagpapatupad ng limitasyon sa bilang ng mga email na maaaring mabuo sa pamamagitan ng serbisyo nito ay nagsisilbi sa isang partikular na kaso ng paggamit.
Sinabi ng Coinbase:
"Ang pagpayag sa mga listahan na ma-invoice ay CORE functionality ng aming serbisyo, at ang functionality na ito ay sadyang binuo sa aming API."
Sa isang mensahe na may petsang ika-31 ng Marso, isang kinatawan ng Coinbase ang nag-alok ng panloob na pagtatasa ng kumpanya kay Shah sa pamamagitan ng HackerOne, isang online na organisasyon ng mga eksperto sa seguridad na nag-coordinate ng mga reward para sa mga hacker na nag-aambag sa isang mas ligtas na Internet.
"Hindi namin isinasaalang-alang ang mga bug sa pagkakaroon ng account bilang sapat na kalubhaan para sa aming saklaw. Ang pag-uugaling ito ay kadalasang nagbibigay-impormasyon sa isang umaatake at hindi direktang nagpapataas ng panganib sa anumang makabuluhang paraan. Maaari naming isaalang-alang ang pag-update sa gawi na ito sa hinaharap ngunit sa tingin namin ay hindi ito nangangailangan ng gantimpala."
Ipinaliwanag ng kinatawan na ang pagpayag sa mga listahan na ma-invoice ay isang mahalagang aspeto ng serbisyo nito, at na ito ay "hindi magiging mas epektibo kaysa sa mas tradisyonal na mga paraan ng phishing, na ginugugol namin ng mahabang panahon sa pagpigil."
Hindi malamang na pag-atake
Sa post sa blog nito, ipinahiwatig ng Coinbase na napakaliit lamang ng mga user – mas mababa sa 0.5% – ang pinangalanan sa post ng data ng user ngayon. Bilang karagdagan, nagpatuloy ito upang ilarawan kung bakit naniniwala ito na ang mga naturang pag-atake ay hindi kapani-paniwalang hindi malamang.
Sabi ng Coinbase: "Ang listahan ng mga email na ito ay malamang na nagmula sa ibang mga site - malamang na may kaugnayan sa bitcoin."
Sinabi ng kumpanya na ang mga nakakahamak na user ay kailangan munang kumuha ng mga email address, na T pampublikong available online, pagkatapos ay magpadala ng pera sa mga tatanggap na, sa turn, ay kailangang pumili na magpadala ng pera sa mga hindi kilalang user.
Ipinahiwatig ni Shah na ang kapintasan ng disenyo ay mahalaga dahil sa likas na katangian ng disenyo ng bitcoin.
"Hindi ka nakikitungo sa isang normal na account. Nakikipag-ugnayan ka sa isang account na may hawak na digital na pera, na hindi na mababawi. Ito ay mas seryoso."
Kinilala ng Coinbase ang alalahaning ito, bagama't sinabi nitong naniniwala ito na kumakatawan ito sa mababang panganib ng panloloko, at mas nagbabanta sa mga user bilang isyu sa spam.
Ipinahiwatig ng Coinbase sa post nito sa blog na sineseryoso nito ang isyu ng spamming, at binanggit na gumagamit ito ng mga limitasyon sa rate sa mga sensitibong aksyon gaya ng paghiling ng pera upang T sila masyadong maabuso.
Pete Rizzo
Pete Rizzo was CoinDesk's editor-in-chief until September 2019. Prior to joining CoinDesk in 2013, he was an editor at payments news source PYMNTS.com.
Top Stories
