Coinbase nega relatos de violação de dados e aborda preocupações de segurança

A Coinbase, fornecedora de carteira de Bitcoin sediada em São Francisco, respondeu formalmente às preocupações da comunidade relacionadas a uma função de design do seu serviço "Request dinheiro" em 1º de abril, em meio a relatos que sugeriam que esse serviço poderia ser mal utilizado por phishers e fraudadores.

A resposta foi emitida depois que uma entrada no Pastebin surgiu sugerindo que cerca de 2.000Nomes e e-mails de clientes da Coinbaseforam comprometidos como parte de uma "violação de dados" do site, rumores que causaram ampla especulação no Reddit e nas redes sociais.

Falando ao CoinDesk, a empresa esclareceu que, embora certas informações pessoais do usuário tenham sido publicadas online, o evento não foi uma violação de dados, mas sim uma exploração de um recurso comum a serviços de tecnologia populares. Usuários mal-intencionados, observou, podem usar um endereço de e-mail para determinar se alguém tem uma conta em outros serviços de pagamento, como PayPal, Square Cash e Venmo – um processo chamado enumeração de e-mail.

Escreveu a empresaem sua resposta oficial:

"Embora acreditemos que esse tipo de spam e atividade de enumeração de usuários T represente um risco significativo para os clientes da Coinbase, reconhecemos que isso pode ser um inconveniente e causar confusão."

O recurso Request Money da Coinbase permite que os usuários Request fundos inserindo um endereço de e-mail. Se o destinatário for um usuário da Coinbase, o site gera um e-mail de retorno completo com o primeiro e último nome do indivíduo, desde que ele tenha usado seu nome real para se registrar no serviço.

A Coinbase não exige que seus usuários forneçam nomes reais e indica em sua Política de Política de Privacidade que disponibiliza tais informações.

No entanto, pelo menos um funcionário de segurança expressou preocupação de que tais informações possam ser usadas por partes mal-intencionadas para cometer fraudes maiores.

Origem da disputa

Essa funcionalidade foi trazida à luz para a comunidade Bitcoin pelo pesquisador de segurança Shubham Shah, sediado na Austrália, que postou suas frustraçõesem seu blog. Essa postagem detalhou um processo passo a passo de como conduzir enumeração de e-mail usando Coinbase e criticou a empresa por não tomar medidas para lidar com suas preocupações.

A Coinbase revisou a "falha de design" conforme enviada por Shah, mas o informou que não estaria procurando implementar uma correção ou emitir uma recompensa pela descoberta. Como tal, ele decidiu publicar a alegação em seu blog.

De acordo com um cronograma postado por Shah, o desenvolvedor contatou a Coinbase pela primeira vez em 28 de fevereiro. A comunicação foi parte de uma série de correspondências que terminaram em 31 de março, quando Shah indica que a Coinbase confirmou que havia fechado seu relatório de bug.

Falando ao CoinDesk, Shah indicou que, como pesquisador de segurança, ele sentiu a responsabilidade de levar o problema à comunidade para que ele pudesse ser abordado. Além disso, ele não alegou nenhuma afiliação com a publicação subsequente do PasteBin de nomes de clientes e endereços de e-mail.

Resposta da Coinbase

A postagem do blog da Coinbase explicou que, apesar das alegações que circulam online, o recurso de design foi intencional e teve como objetivo aumentar a usabilidade do seu serviço. Além disso, afirmou que não implementar um limite no número de e-mails que podem ser gerados por meio do seu serviço atende a um caso de uso específico.

Disse Coinbase:

"Permitir que listas sejam faturadas é a funcionalidade CORE do nosso serviço, e essa funcionalidade é intencionalmente incorporada à nossa API."

Em uma mensagem datada de 31 de março, um representante da Coinbase ofereceu a avaliação interna da empresa a Shah viaHackerUm, uma organização online de especialistas em segurança que coordena recompensas para hackers que contribuem para uma Internet mais segura.

"Não estamos considerando que bugs de existência de conta sejam de gravidade alta o suficiente para nosso escopo. Esse comportamento é principalmente informativo para um invasor e não aumenta diretamente o risco de forma significativa. Podemos considerar atualizar esse comportamento no futuro, mas não achamos que isso justifique uma recompensa."

O representante explicou que permitir que listas sejam faturadas era um aspecto fundamental do seu serviço e que "não seria mais eficaz do que métodos de phishing mais tradicionais, os quais gastamos uma quantidade considerável de tempo prevenindo".

Ataques improváveis

Em sua postagem de blog, a Coinbase indicou que apenas uma quantidade muito pequena de usuários – menos de 0,5% – foram nomeados na postagem de dados de usuários hoje. Além disso, ela continuou descrevendo por que acredita que tais ataques são incrivelmente improváveis.

A Coinbase disse: "Essa lista de e-mails provavelmente foi originada de outros sites — provavelmente relacionados ao bitcoin."

A empresa disse que usuários mal-intencionados precisariam primeiro adquirir endereços de e-mail, que T estão disponíveis publicamente online, e então enviar dinheiro para destinatários que, por sua vez, teriam que escolher enviar dinheiro para usuários desconhecidos.

Shah indicou que a falha de design é importante devido à natureza do design do bitcoin.

"Você não está lidando com uma conta normal. Você está lidando com uma conta que detém moeda digital, que é irreversível. É um pouco mais sério."

A Coinbase reconheceu essa preocupação, embora tenha dito que acredita que ela representa um baixo risco de fraude e é mais ameaçadora para os usuários como um problema de spam.

A Coinbase indicou em sua postagem no blog que está levando a questão do spam a sério, observando que emprega limites de taxa em ações sensíveis, como solicitar dinheiro, para que elas T sejam amplamente abusadas.