Coinbase rivela un errore nella password che ha interessato 3.500 clienti

Venerdì, l'exchange Cripto Coinbase ha rivelato una potenziale vulnerabilità, annunciando che una piccola frazione delle password dei suoi clienti era memorizzata in testo normale su un registro del server interno. Tuttavia, le informazioni non sono state accessibili in modo improprio da parti esterne, ha affermato l'exchange.

In unpost-mortem condiviso con CoinDesk, Coinbase ha evidenziato "un problema di archiviazione delle password", che ha avuto un impatto su meno di 3.500 clienti (su oltre 30 milioni in tutto il mondo) e che ha portato brevemente all'archiviazione in chiaro di informazioni personali, comprese le password, su sistemi di registrazione interni.

"In una condizione di errore molto specifica e RARE , il modulo di registrazione sulla nostra pagina di iscrizione T si caricava correttamente, il che significava che qualsiasi tentativo di creare un nuovo account Coinbase in quelle condizioni sarebbe fallito", spiegava il post. "Purtroppo, significava anche che il nome, l'indirizzo e-mail e la password proposta (e lo stato di residenza, se negli Stati Uniti) dell'individuo sarebbero stati inviati ai nostri registri interni".

In 3.420 casi, i potenziali clienti hanno utilizzato la stessa password al secondo tentativo di registrazione, che avrebbe avuto successo ma avrebbe comportato la creazione di una password che corrispondeva alla versione hash nei log dell'azienda. Quei clienti sono stati avvisati da Coinbase tramite e-mail venerdì.

Il bug si è verificato a causa dell'uso da parte di Coinbase del rendering lato server di React.js sulla pagina di registrazione. In pratica, quando un utente visita la pagina per registrarsi per un account, React aiuta a visualizzare il modulo che deve essere compilato.

"Qualsiasi utente che tenti di registrarsi deve avere JavaScript abilitato e deve caricarlo correttamente", si legge nel post, aggiungendo:

"In quasi tutte le circostanze, entrambe queste cose sono vere e React gestisce la convalida del modulo e l'invio al server. Tuttavia, se un utente avesse JavaScript disabilitato o il suo browser ricevesse un errore React.js durante il caricamento, ci sarebbe abbastanza HTML pre-renderizzato che un utente potrebbe compilare e tentare di inviare il nostro modulo di registrazione."

Poiché il modulo HTML "era estremamente basilare", non sono stati impostati attributi "azione" o "metodo". A causa dei comportamenti predefiniti, ciò ha portato alcuni browser a usare di default "GET", che codificava le variabili del modulo come parte dei dati di log.

Lo scambio ha risolto il problema modificando il metodo predefinito del modulo in "POST", per garantire che i dati non vengano più registrati.

Sebbene Coinbase abbia cercato altre forme "con quel comportamento problematico", l'exchange non ne ha identificata alcuna.

"Stiamo anche implementando meccanismi aggiuntivi per rilevare e prevenire l'introduzione involontaria di questo tipo di bug in futuro", ha affermatopost del blog disse.

In risposta alla Da scoprire, Coinbase ha affermato di aver tracciato le varie posizioni in cui i registri potrebbero essere archiviati, tra cui un sistema ospitato su Amazon Web Services e alcuni "fornitori di servizi di analisi dei registri".

"Un'analisi approfondita dell'accesso a questi sistemi di registrazione non ha rivelato alcun accesso non autorizzato a questi dati", si legge nel post, aggiungendo che l'accesso a ciascuno dei sistemi è "strettamente limitato e sottoposto a verifica".

Coinbase ha affermato di aver attivato anche la reimpostazione della password per tutti gli individui il cui account è stato interessato. (Il post del blog ha aggiunto che è richiesta l'autenticazione a due fattori oltre alla password affinché gli utenti possano accedere agli account.)

"Sebbene siamo certi di aver risolto la causa principale e che le informazioni registrate non siano state consultate in modo improprio, utilizzate in modo improprio o compromesse, stiamo chiedendo a tali clienti di modificare le proprie password come precauzione di buona pratica", si legge nel post.

"Come promemoria, Coinbase mantiene anche un attivoprogramma bug bounty su HackerOne, che ha pagato oltre un quarto di milione di dollari fino ad oggi. Sebbene questo particolare bug sia stato scoperto internamente, invitiamo i ricercatori della sicurezza a inviare report ogni volta che ritengono di aver scoperto un difetto in ONE dei nostri sistemi", ha concluso la borsa.

La Dichiarazione informativa di Coinbase arriva subito dopo che Binance e Huobi hanno subito delle vere e proprie violazioni dei dati. A differenza di Coinbase, Binance e Huobi sembrano aver perso il controllo dei dati know-your-customer dei clienti, inclusi i documenti di verifica dell'identità.

Immagine di Brian Armstrong tramite gli archivi CoinDesk