Coinbase dément les rapports de violation de données et répond aux préoccupations en matière de sécurité

Le fournisseur de portefeuilles Bitcoin basé à San Francisco, Coinbase, a officiellement répondu aux préoccupations de la communauté concernant une fonction de conception de son service «Request Money » le 1er avril, au milieu de rapports suggérant que ce service pourrait être utilisé à mauvais escient par des hameçonneurs et des fraudeurs.

La réponse a été publiée après qu'une entrée Pastebin soit apparue suggérant qu'environ 2 000Noms et e-mails des clients Coinbaseont été compromis dans le cadre d'une « violation de données » du site, des rumeurs qui ont suscité de nombreuses spéculations sur Reddit et les réseaux sociaux.

S'adressant à CoinDesk, l'entreprise a précisé que, bien que certaines informations personnelles d'utilisateurs aient été publiées en ligne, il ne s'agissait pas d'une violation de données, mais plutôt d'une exploitation d'une fonctionnalité courante des services technologiques populaires. Les utilisateurs malveillants, a-t-elle précisé, peuvent utiliser une adresse e-mail pour déterminer si une personne possède un compte sur d'autres services de paiement tels que PayPal, Square Cash et Venmo – un processus appelé « énumération d'e-mails ».

A écrit à l'entreprisedans sa réponse officielle:

« Bien que nous pensons que ce type d'activité de spam et d'énumération d'utilisateurs ne représente T un risque significatif pour les clients de Coinbase, nous reconnaissons absolument que cela peut être un inconvénient et causer de la confusion. »

La fonctionnalité « Request de l'argent » de Coinbase permet aux utilisateurs de Request des fonds en saisissant une adresse e-mail. Si le destinataire est un utilisateur Coinbase, le site web génère un e-mail de réponse avec ses nom et prénom, à condition qu'il ait utilisé son vrai nom lors de son inscription.

Coinbase n'exige pas de ses utilisateurs qu'ils fournissent de vrais noms et indique dans sa Juridique de Politique de confidentialité qu'il met ces informations à disposition.

Cependant, au moins un responsable de la sécurité a exprimé son inquiétude quant au fait que de telles informations pourraient être utilisées par des parties malveillantes pour commettre des fraudes plus importantes.

Origine du litige

Cette fonctionnalité a été révélée à la communauté Bitcoin par le chercheur en sécurité basé en Australie, Shubham Shah, qui a publié ses frustrationssur son blog. Cet article détaillait un processus étape par étape sur la manière de procéder à un recensement des e-mails à l'aide de Coinbase et critiquait l'entreprise pour ne pas avoir pris de mesures pour répondre à ses préoccupations.

Coinbase a examiné le « défaut de conception » signalé par Shah, mais l'a informé qu'il ne chercherait pas à mettre en œuvre de correctif ni à offrir de récompense pour sa découverte. Il a donc décidé de publier cette affirmation sur son blog.

Selon une chronologie publiée par Shah, le développeur a contacté Coinbase pour la première fois le 28 février. Cette communication s'inscrivait dans une série de correspondances qui ont pris fin le 31 mars, date à laquelle Shah a indiqué que Coinbase avait confirmé la clôture de son rapport de bug.

S'adressant à CoinDesk, Shah a indiqué qu'en tant que chercheur en sécurité, il se sentait responsable de signaler le problème à la communauté afin qu'il soit résolu. De plus, il a affirmé n'avoir aucun lien avec la publication ultérieure des noms et adresses e-mail des clients sur PasteBin.

La réponse de Coinbase

Le blog de Coinbase explique que, malgré les affirmations circulant en ligne, cette fonctionnalité était intentionnelle et visait à améliorer la convivialité du service. De plus, Coinbase précise que l'absence de limite au nombre d'e-mails pouvant être générés via son service répond à un cas d'usage spécifique.

Coinbase a déclaré :

« Permettre la facturation des listes est une fonctionnalité CORE de notre service, et cette fonctionnalité est intentionnellement intégrée à notre API. »

Dans un message daté du 31 mars, un représentant de Coinbase a présenté l'évaluation interne de la société à Shah viaHackerOne, une organisation en ligne d'experts en sécurité qui coordonne les récompenses pour les pirates informatiques qui contribuent à un Internet plus sûr.

Nous ne considérons pas que les bugs d'existence de compte soient suffisamment graves pour notre champ d'action. Ce comportement est principalement informatif pour un attaquant et n'augmente pas directement le risque de manière significative. Nous pourrions envisager de modifier ce comportement à l'avenir, mais nous ne pensons pas que cela justifie une récompense.

Le représentant a expliqué que permettre la facturation des listes était un aspect essentiel de son service et que cela « ne serait pas plus efficace que les méthodes de phishing plus traditionnelles, que nous consacrons beaucoup de temps à prévenir ».

Des attaques improbables

Dans son article de blog, Coinbase a indiqué que seul un très petit nombre d'utilisateurs – moins de 0,5 % – étaient cités dans la publication de données utilisateur publiée aujourd'hui. L'entreprise a également expliqué pourquoi elle estime que de telles attaques sont extrêmement improbables.

Coinbase a déclaré : « Cette liste d'e-mails provient probablement d'autres sites, probablement liés au Bitcoin. »

La société a déclaré que les utilisateurs malveillants devraient d'abord acquérir des adresses e-mail, qui ne sont T accessibles au public en ligne, puis envoyer de l'argent aux destinataires qui, à leur tour, devraient choisir d'envoyer de l'argent à des utilisateurs inconnus.

Shah a indiqué que le défaut de conception est important en raison de la nature de la conception du bitcoin.

« Il ne s'agit pas d'un compte normal. Il s'agit d'un compte qui contient de la monnaie numérique, ce qui est irréversible. C'est un peu plus grave. »

Coinbase a reconnu cette préoccupation, même si elle a déclaré qu'elle pensait que cela représentait un faible risque de fraude et qu'il était plus menaçant pour les utilisateurs en tant que problème de spam.

Coinbase a indiqué dans son article de blog qu'il prenait le problème du spam au sérieux, notant qu'il applique des limites de taux sur les actions sensibles telles que la demande d'argent afin qu'elles ne soient T largement abusées.