Tangem corrige une faille critique après une critique sur Reddit
Tangem corrige un défaut d'exposition important
Le fournisseur de portefeuilles de crypto-monnaies Tangem a corrigé une grave vulnérabilité de sécurité dans son application mobile qui exposait les clés privées de certains utilisateurs par le biais de journaux de messagerie.
La correction est intervenue en réponse aux critiques croissantes de la communauté cryptographique, en particulier sur Reddit, où les utilisateurs ont accusé Tangem de mettre en péril les fonds des investisseurs en ne protégeant pas les données sensibles, selon Cointelegraph.
Détails de l'incident
Le problème a attiré l'attention le 29 décembre, lorsque l'utilisateur de Reddit u/areklanga a allégué que Tangem collectait les clés privées des utilisateurs par courrier électronique. Il a également affirmé que Tangem avait précédemment ignoré les avertissements concernant la vulnérabilité. Selon l'utilisateur, les clés privées étaient stockées dans l'historique des courriels des utilisateurs et de Tangem, ainsi que dans les systèmes de billetterie internes de Tangem, ce qui les rendait accessibles aux employés de l'entreprise. L'utilisateur a également noté qu'un post Reddit antérieur détaillant la vulnérabilité avait été mystérieusement supprimé.
Réponse et actions de Tangem
Le 30 décembre, Tangem a reconnu le problème, confirmant qu'il résultait d'un bug dans le système de traitement des logs de l'application. La société a expliqué que les clés privées générées lors de la création d'un portefeuille ont été enregistrées par inadvertance et qu'il était possible d'y accéder si les utilisateurs contactaient l'équipe d'assistance de Tangem. Une mise à jour ultérieure a été publiée pour corriger le problème.
Tangem a assuré aux utilisateurs, dans une déclaration sur Reddit, que tous les journaux et pièces jointes précédemment envoyés à son équipe d'assistance avaient été définitivement supprimés. L'entreprise a souligné que seul un petit groupe d'utilisateurs ayant généré des phrases de semence et ayant immédiatement contacté l'équipe d'assistance pourrait avoir été affecté. Ces utilisateurs sont contactés directement pour obtenir de l'aide.
"Après une enquête approfondie, nous pouvons confirmer en toute confiance qu'aucune clé privée n'a été compromise, qu'aucun fonds d'utilisateur n'a été perdu et qu'aucun compte n'a été consulté", a déclaré Tangem dans ses commentaires.
Critiques sur le manque de transparence
Malgré la publication d'un correctif, Tangem a été critiqué pour son manque de transparence. Les critiques et les utilisateurs de Tangem ont souligné que le site web officiel de l'entreprise et ses canaux de médias sociaux ne mentionnaient pas la vulnérabilité ou sa résolution.
"Les utilisateurs de Tangem ont fait remarquer que le site officiel de l'entreprise et les canaux de médias sociaux ne mentionnaient pas la vulnérabilité ou sa résolution. Je pense qu'un blog officiel et Telegram seraient de bons endroits pour cela", a noté l'utilisateur solodkiy.
Pour limiter les risques potentiels, Tangem a demandé à tous les utilisateurs de mettre à jour immédiatement leurs applications mobiles. Bien que l'entreprise affirme avoir résolu le problème, l'incident souligne l'importance cruciale de mesures de sécurité robustes dans le secteur des crypto-monnaies.
Dans le même ordre d'idées, Byte Federal, l'un des plus grands opérateurs de distributeurs automatiques de bitcoins aux États-Unis, a récemment fait état d' une importante violation de données qui pourrait avoir affecté 58 000 clients.
