Tangem corregge un difetto critico dopo le critiche di Reddit
Tangem risolve un difetto di esposizione chiave
Il fornitore di portafogli per criptovalute Tangem ha risolto una grave vulnerabilità di sicurezza nella sua app mobile che esponeva le chiavi private di alcuni utenti attraverso i log delle e-mail.
La correzione è arrivata in risposta alle crescenti critiche della comunità delle criptovalute, in particolare su Reddit, dove gli utenti hanno accusato Tangem di aver messo a rischio i fondi degli investitori non proteggendo i dati sensibili, secondo quanto riportato da Cointelegraph.
Dettagli dell'incidente
Il problema ha attirato l'attenzione il 29 dicembre, quando l'utente di Reddit u/areklanga ha affermato che Tangem stava raccogliendo le chiavi private degli utenti via e-mail. Il post affermava anche che Tangem aveva precedentemente ignorato gli avvertimenti sulla vulnerabilità. Secondo l'utente, le chiavi private erano memorizzate sia nella cronologia delle e-mail degli utenti che in quella di Tangem, e forse anche nei sistemi interni di ticketing di Tangem, rendendole accessibili ai dipendenti dell'azienda. L'utente ha anche notato che un precedente post su Reddit che illustrava la vulnerabilità era stato misteriosamente cancellato.
Risposta e azioni di Tangem
Il 30 dicembre Tangem ha riconosciuto il problema, confermando che derivava da un bug nel sistema di elaborazione dei log dell'app. L'azienda ha spiegato che le chiavi private generate durante la creazione del portafoglio erano state inavvertitamente registrate e potevano essere accessibili se gli utenti interagivano con il team di assistenza di Tangem. Successivamente è stato rilasciato un aggiornamento per risolvere il problema.
In una dichiarazione su Reddit, Tangem ha assicurato agli utenti che tutti i log e gli allegati precedentemente inviati al team di assistenza sono stati eliminati in modo permanente. L'azienda ha sottolineato che solo un piccolo gruppo di utenti che ha generato frasi seed e ha contattato immediatamente l'assistenza potrebbe essere stato colpito. Questi utenti sono stati contattati direttamente per ricevere assistenza.
"Dopo un'indagine approfondita, possiamo confermare con sicurezza che nessuna chiave privata è stata compromessa, nessun fondo dell'utente è stato perso e nessun conto è stato violato", ha dichiarato Tangem nei suoi commenti.
Critiche per la mancanza di trasparenza
Nonostante il rilascio di una patch, Tangem ha dovuto affrontare le critiche per una percepita mancanza di trasparenza. Sia i critici che gli utenti di Tangem hanno sottolineato che il sito web ufficiale e i canali di social media dell'azienda non hanno menzionato la vulnerabilità o la sua risoluzione.
"Avete intenzione di condividere questo annuncio in modo più ampio rispetto a un semplice commento su un post di Reddit? Penso che un blog ufficiale e Telegram siano i posti giusti per farlo", ha osservato l'utente solodkiy.
Per ridurre i rischi potenziali, Tangem ha invitato tutti gli utenti ad aggiornare immediatamente le applicazioni mobili. Anche se l'azienda sostiene di aver risolto il problema, l'incidente evidenzia l'importanza fondamentale di solide misure di sicurezza nel settore delle criptovalute.
Tra le notizie correlate, Byte Federal, uno dei maggiori operatori di bancomat per Bitcoin negli Stati Uniti, ha recentemente segnalato una significativa violazione dei dati che potrebbe aver interessato 58.000 clienti.
