Coinbase виявляє збій пароля 3500 клієнтів

Крипто Coinbase розкрила потенційну вразливість у п’ятницю, оголосивши, що крихітна частка паролів її клієнтів зберігається у вигляді звичайного тексту у внутрішньому журналі сервера. Однак інформація не була неправомірно доступна стороннім сторонам, повідомляє біржа.

В а посмертно Поділився з CoinDesk, Coinbase окреслив «проблему зберігання паролів», яка вплинула на менше ніж 3500 клієнтів (з понад 30 мільйонів у всьому світі), що на короткий час призвело до того, що особиста інформація, включаючи паролі, зберігалася у вигляді відкритого тексту у внутрішніх системах реєстрації.

«У зв’язку з дуже специфічною та RARE помилкою реєстраційна форма на нашій сторінці реєстрації T завантажувалася належним чином, що означало, що будь-яка спроба створити новий обліковий запис Coinbase за таких умов буде невдалою», — пояснюється в дописі. «На жаль, це також означало, що ім’я особи, адреса електронної пошти та запропонований пароль (і штат проживання, якщо в США) будуть надіслані до наших внутрішніх журналів».

У 3420 випадках потенційні клієнти використовували той самий пароль під час другої спроби реєстрації, яка була успішною, але в результаті вони мали пароль, який збігався з хешованою версією в журналах компанії. Ці клієнти були сповіщені Coinbase електронною поштою в п'ятницю.

Помилка сталася через використання Coinbase рендерингу React.js на стороні сервера на сторінці реєстрації. По суті, коли користувач відвідує сторінку, щоб зареєструвати обліковий запис, React допомагає відобразити форму, яку потрібно заповнити.

«Будь-який користувач, який намагається зареєструватися, повинен увімкнути JavaScript і правильно завантажувати JavaScript», — пояснюється в публікації, додаючи:

«Практично за будь-яких обставин обидві ці речі вірні, і React обробляє перевірку форми та надсилає її на сервер. Однак, якщо у користувача був вимкнений JavaScript або його браузер отримав помилку React.js під час завантаження, було достатньо попередньо відрендереного HTML, який користувач міг заповнити та спробувати надіслати нашу реєстраційну форму».

Оскільки форма HTML «була надзвичайно простою», не було встановлено жодних атрибутів «дія» чи «метод». Через поведінку за замовчуванням це призвело до того, що деякі браузери за замовчуванням використовували «GET», який кодував змінні форми як частину даних журналу.

Обмінник вирішив проблему, змінивши метод форми за замовчуванням на «POST», щоб дані більше не реєструвалися.

Хоча Coinbase шукала інші форми «з такою проблемною поведінкою», біржа не виявила жодної.

«Ми також знаходимося в процесі впровадження додаткових механізмів для виявлення та запобігання випадковому виникненню такого роду помилок у майбутньому», — публікація в блозі сказав.

У відповідь на Цікаве Coinbase повідомила, що відстежує різні місця, де можуть зберігатися журнали, зокрема систему, розміщену на Amazon Web Services, і деяких «постачальників послуг аналізу журналів».

«Ретельна перевірка доступу до цих систем реєстрації не виявила жодного несанкціонованого доступу до цих даних», — йдеться в повідомленні, додаючи, що доступ до кожної з систем «суворо обмежений і перевіряється».

Coinbase повідомила, що також ініціювала скидання паролів для будь-якої особи, чий обліковий запис постраждала. (У блозі додано, що для входу в облікові записи користувачам потрібна двофакторна автентифікація на додаток до пароля.)

«Хоча ми впевнені, що ми усунули основну причину та що зареєстрована інформація не була неналежним чином доступна, не використана або скомпрометована, ми вимагаємо від цих клієнтів змінити свої паролі як найкращий запобіжний захід», — пояснюється в дописі.

«Нагадуємо, що Coinbase також підтримує активність програма винагороди за помилки на HackerOne, яка на сьогоднішній день виплатила понад чверть мільйона доларів. Хоча ця конкретна помилка була виявлена ​​внутрішньо, ми запрошуємо дослідників безпеки подавати звіти щоразу, коли вони вважають, що могли виявити недолік в ONE із наших систем», – підсумували на біржі.

Повідомлення Coinbase сталося після того, як Binance та Huobi постраждали від реальних порушень даних. На відміну від Coinbase, Binance та Huobi, схоже, втратили контроль над даними клієнта «знай свого клієнта», включаючи документи, що підтверджують особу.

Зображення Брайана Армстронга через архіви CoinDesk