Inihayag ng Coinbase ang Password Glitch na Nakakaapekto sa 3,500 Customer

Ang Crypto exchange Coinbase ay nagsiwalat ng isang potensyal na kahinaan noong Biyernes, na nagpahayag na ang isang maliit na bahagi ng mga password ng mga customer nito ay nakaimbak sa plain text sa isang panloob na log ng server. Gayunpaman, ang impormasyon ay hindi wastong na-access ng mga partido sa labas, sinabi ng palitan.

Sa isang post-mortem ibinahagi sa CoinDesk, binalangkas ng Coinbase ang "isang isyu sa pag-iimbak ng password," na nakakaapekto sa mas mababa sa 3,500 mga customer (mula sa higit sa 30 milyon sa buong mundo) na panandaliang nagresulta sa personal na impormasyon, kabilang ang mga password, na nakaimbak sa malinaw na teksto sa mga panloob na sistema ng pag-log.

"Sa ilalim ng isang napaka-tiyak at RARE kondisyon ng error, ang form ng pagpaparehistro sa aming pahina ng pag-signup ay T maglo-load nang tama, na nangangahulugan na ang anumang pagtatangka na lumikha ng isang bagong Coinbase account sa ilalim ng mga kundisyong iyon ay mabibigo," ipinaliwanag ng post. "Sa kasamaang palad, nangangahulugan din ito na ang pangalan, email address, at iminungkahing password ng indibidwal (at estado ng paninirahan, kung nasa US) ay ipapadala sa aming mga panloob na log."

Sa 3,420 na pagkakataon, ginamit ng mga potensyal na customer ang parehong password sa kanilang pangalawang pagtatangka sa pag-signup, na magiging matagumpay ngunit magreresulta sa kanilang pagkakaroon ng password na tumutugma sa na-hash na bersyon sa mga log ng kumpanya. Ang mga customer na iyon ay naabisuhan ng Coinbase sa pamamagitan ng email noong Biyernes.

Naganap ang bug dahil sa paggamit ng Coinbase ng React.js server-side rendering sa pahina ng pag-signup. Sa pangkalahatan, kapag bumisita ang isang user sa page upang mag-sign up para sa isang account, tumutulong ang React na ipakita ang form na kailangang punan.

"Ang sinumang user na sumusubok na magrehistro ay kailangang naka-enable ang JavaScript, at kailangang mai-load nang tama ang JavaScript na iyon," paliwanag ng post, at idinagdag:

"Sa halos lahat ng pagkakataon, pareho sa mga bagay na ito ay totoo, at pinangangasiwaan ng React ang pagpapatunay at pagsusumite ng form sa server. Gayunpaman, kung ang isang user ay na-disable ang JavaScript o ang kanilang browser ay nakatanggap ng React.js error kapag naglo-load, mayroong sapat na paunang nai-render na HTML na maaaring punan ng isang user at subukang isumite ang aming form sa pagpaparehistro."

Dahil ang HTML form ay "napakasimple," walang "pagkilos" o "paraan" na mga katangian ang naitakda. Dahil sa mga default na gawi, nagresulta ito sa ilang browser na nagde-default sa "GET," na nag-encode ng mga variable ng form bilang bahagi ng data ng log.

Inayos ng exchange ang isyu sa pamamagitan ng paglipat ng default na paraan ng form sa "POST," upang matiyak na hindi na naka-log ang data.

Habang ang Coinbase ay naghanap ng iba pang mga form "na may problemang pag-uugali," ang palitan ay walang natukoy na anuman.

"Nasa proseso din kami ng pagpapatupad ng mga karagdagang mekanismo para makita at maiwasan ang hindi sinasadyang pagpapakilala ng ganitong uri ng bug sa hinaharap," ang post sa blog sabi.

Bilang tugon sa Discovery, sinabi ng Coinbase na sinusubaybayan nito ang iba't ibang lokasyon kung saan maaaring iimbak ang mga log, na kasama ang isang system na naka-host sa Amazon Web Services at ilang "mga service provider ng pagsusuri ng log."

"Ang isang masusing pagsusuri sa pag-access sa mga sistema ng pag-log na ito ay hindi nagpahayag ng anumang hindi awtorisadong pag-access sa data na ito," sabi ng post, at idinagdag na ang pag-access sa bawat isa sa mga system ay "mahigpit na pinaghihigpitan at sinusuri."

Sinabi ng Coinbase na nag-trigger din ito ng mga pag-reset ng password para sa sinumang indibidwal na naapektuhan ang account. (Idinagdag ng post sa blog na nangangailangan ito ng two-factor authentication sa ibabaw ng isang password para makapag-log in ang mga user sa mga account.)

"Bagama't kumpiyansa kami na naayos na namin ang ugat at ang naka-log na impormasyon ay hindi wastong na-access, nagamit nang mali, o nakompromiso, hinihiling namin sa mga customer na iyon na baguhin ang kanilang mga password bilang isang pag-iingat sa pinakamahusay na kasanayan," paliwanag ng post.

"Bilang paalala, ang Coinbase ay nagpapanatili din ng isang aktibo bug bounty program sa HackerOne, na nagbayad ng mahigit isang-kapat ng isang milyong dolyar hanggang sa kasalukuyan. Bagama't ang partikular na bug na ito ay natuklasan sa loob, malugod naming tinatanggap ang mga mananaliksik sa seguridad na magsumite ng mga ulat anumang oras na naniniwala sila na maaaring may natuklasan silang depekto sa ONE sa aming mga system," pagtatapos ng palitan.

Ang Disclosure ng Coinbase ay dumating sa takong ng Binance at Huobi na dumaranas ng mga aktwal na paglabag sa data. Hindi tulad ng Coinbase, lumilitaw na nawalan ng kontrol ang Binance at Huobi sa data ng pagkakakilala ng iyong customer ng kliyente, kabilang ang mga dokumento sa pag-verify ng pagkakakilanlan.

Brian Armstrong na imahe sa pamamagitan ng CoinDesk archive