Coinbase опровергает сообщения об утечке данных и решает проблемы безопасности

Базирующийся в Сан-Франциско поставщик Bitcoin кошельков Coinbase 1 апреля официально отреагировал на обеспокоенность сообщества относительно функции дизайна своего сервиса «Request денег» на фоне сообщений о том, что этот сервис может быть использован фишерами и мошенниками.

Ответ был дан после того, как в Pastebin появилась запись, предполагающая, что около 2000Имена и адреса электронной почты клиентов Coinbaseбыли скомпрометированы в результате «утечки данных» сайта, слухи о которых вызвали широкое обсуждение на Reddit и в социальных сетях.

В разговоре с CoinDesk компания пояснила, что, хотя определенная личная информация пользователя была размещена в сети, это событие не было утечкой данных, а скорее эксплуатацией функции, общей для популярных технологических сервисов. Злонамеренные пользователи, отметили они, могут использовать адрес электронной почты, чтобы определить, есть ли у кого-то учетная запись в других платежных сервисах, таких как PayPal, Square Cash и Venmo — процесс, называемый перечислением адресов электронной почты.

Написал компаниив своем официальном ответе:

«Хотя мы считаем, что этот тип спама и деятельности по подсчету пользователей T представляет существенного риска для клиентов Coinbase, мы полностью осознаем, что это может доставлять неудобства и вызывать путаницу».

Функция Request денег Coinbase позволяет пользователям Request средства, вводя адрес электронной почты. Если получатель является пользователем Coinbase, веб-сайт генерирует ответное электронное письмо с указанием имени и фамилии человека, при условии, что он использовал свое настоящее имя для регистрации в сервисе.

Coinbase не требует от своих пользователей предоставления настоящих имен и указывает в своей Политика Политика конфиденциальности , что делает такую ​​информацию доступной.

Однако по крайней мере ONE сотрудник службы безопасности выразил обеспокоенность тем, что такая информация может быть использована злоумышленниками для совершения более крупных мошенничеств.

Происхождение спора

Эту функциональность представил сообществу Bitcoin австралийский исследователь безопасности Шубхам Шах, который опубликовал свои разочарованияв своем блоге. В этом посте подробно описывался пошаговый процесс проведения сбора адресов электронной почты с помощью Coinbase, а также содержалась критика компании за то, что она не приняла мер для решения его проблем.

Coinbase рассмотрела «дефект дизайна», представленный Шахом, но сообщила ему, что не будет пытаться внедрить исправление или выдать вознаграждение за обнаружение. Поэтому он решил опубликовать заявление в своем блоге.

Согласно хронологии, опубликованной Шахом, разработчик впервые связался с Coinbase 28 февраля. Это сообщение было частью серии переписок, которые закончились 31 марта, когда Шах указал, что Coinbase подтвердила, что закрыла его отчет об ошибке.

В разговоре с CoinDesk Шах указал, что как исследователь безопасности он чувствовал ответственность за то, чтобы донести проблему до сообщества, чтобы ее можно было решить. Кроме того, он не утверждал, что имеет отношение к последующей публикации на PasteBin имен клиентов и адресов электронной почты.

Ответ Coinbase

В сообщении блога Coinbase объясняется, что, несмотря на заявления, циркулирующие в сети, эта функция дизайна была преднамеренной и призвана повысить удобство использования сервиса. Кроме того, в нем говорится, что отсутствие ограничения на количество писем, которые могут быть созданы через его сервис, служит определенному варианту использования.

Coinbase сказал:

«Возможность выставления счетов по спискам — это CORE функция нашего сервиса, и эта функция намеренно встроена в наш API».

В сообщении от 31 марта представитель Coinbase предложил Шаху внутреннюю оценку компании черезХакерOne, интернет-организация экспертов по безопасности, которая координирует вознаграждения хакеров, вносящих вклад в повышение безопасности Интернета.

«Мы не считаем, что ошибки существования аккаунта достаточно серьезны для нашей сферы. Такое поведение в основном носит информационный характер для злоумышленника и не увеличивает риск напрямую каким-либо существенным образом. Мы можем рассмотреть возможность обновления этого поведения в будущем, но не считаем, что это заслуживает вознаграждения».

Представитель компании пояснил, что предоставление возможности выставления счетов по спискам является ключевым аспектом ее услуг и что это «не будет более эффективным, чем более традиционные методы фишинга, на предотвращение которых мы тратим значительное количество времени».

Маловероятные атаки

В своем сообщении в блоге Coinbase указала, что только очень небольшое количество пользователей — менее 0,5% — были названы в сегодняшнем сообщении с пользовательскими данными. Кроме того, она продолжила описывать, почему она считает такие атаки крайне маловероятными.

Coinbase заявила: «Этот список адресов электронной почты, вероятно, был взят с других сайтов — возможно, связанных с биткоином».

Компания заявила, что злоумышленникам сначала потребуется получить адреса электронной почты, которые T являются общедоступными в Интернете, а затем отправить деньги получателям, которые, в свою очередь, должны будут принять решение отправить деньги неизвестным пользователям.

Шах указал, что этот недостаток конструкции имеет важное значение ввиду особенностей архитектуры биткоина.

«Вы имеете дело не с обычным счетом. Вы имеете дело со счетом, на котором хранится цифровая валюта, и это необратимо. Это немного серьезнее».

Coinbase признала эту проблему, хотя и заявила, что, по ее мнению, она представляет низкий риск мошенничества и представляет большую угрозу для пользователей как проблема спама.

Coinbase в своем сообщении в блоге указала, что серьезно относится к проблеме спама, отметив, что применяет ограничения по частоте таких деликатных действий, как запрос денег, чтобы T допустить их массового злоупотребления.