Tangem verhelpt kritieke fout na kritiek op Reddit
Tangem lost belangrijke blootstellingsfout op
De aanbieder van cryptocurrency-portemonnees Tangem heeft een ernstig beveiligingslek in zijn mobiele app verholpen, waardoor de privésleutels van bepaalde gebruikers via e-maillogs werden blootgelegd.
De reparatie kwam als reactie op de groeiende kritiek uit de cryptogemeenschap, met name op Reddit, waar gebruikers Tangem ervan beschuldigden de fondsen van investeerders in gevaar te brengen door gevoelige gegevens niet te beschermen, aldus Cointelegraph.
Details incident
De kwestie kreeg aandacht op 29 december, toen Reddit-gebruiker u/areklanga beweerde dat Tangem de privésleutels van gebruikers verzamelde via e-mail. Het bericht beweerde ook dat Tangem eerder waarschuwingen over de kwetsbaarheid had genegeerd. Volgens de gebruiker werden privésleutels opgeslagen in de e-mailgeschiedenis van zowel gebruikers als Tangem en mogelijk ook in de interne ticketing-systemen van Tangem, waardoor ze toegankelijk waren voor werknemers van het bedrijf. Ze merkten ook op dat een eerdere Reddit-post over de kwetsbaarheid op mysterieuze wijze was verwijderd.
Reactie en acties van Tangem
Op 30 december erkende Tangem het probleem en bevestigde dat het het gevolg was van een bug in het logverwerkingssysteem van de app. Het bedrijf legde uit dat privésleutels die werden gegenereerd tijdens het aanmaken van de portemonnee per ongeluk werden gelogd en toegankelijk waren als gebruikers contact opnamen met het ondersteuningsteam van Tangem. Een daaropvolgende update werd uitgebracht om het probleem op te lossen.
Tangem verzekerde gebruikers in een Reddit verklaring dat alle logs en bijlagen die eerder naar het ondersteuningsteam waren gestuurd permanent waren verwijderd. Het bedrijf benadrukte dat alleen een kleine groep gebruikers die zaadzinnen genereerden en onmiddellijk contact opnamen met ondersteuning, mogelijk getroffen waren. Met deze gebruikers wordt direct contact opgenomen voor hulp.
"Na grondig onderzoek kunnen we met vertrouwen bevestigen dat er geen privé sleutels zijn gecompromitteerd, dat er geen geld van gebruikers verloren is gegaan en dat er geen toegang tot accounts is geweest", aldus Tangem in haar commentaar.
Kritiek op gebrek aan transparantie
Ondanks het uitbrengen van een patch, kreeg Tangem kritiek te verduren vanwege een vermeend gebrek aan transparantie. Zowel critici als Tangem-gebruikers wezen erop dat de officiële website en sociale mediakanalen van het bedrijf geen melding maakten van de kwetsbaarheid of de oplossing ervan.
"Zijn jullie van plan om deze aankondiging breder te delen dan alleen een reactie op een Reddit-post? Ik denk dat een officiële blog en Telegram daar goede plaatsen voor zouden zijn," merkte gebruiker solodkiy op.
Om mogelijke risico's te beperken, drong Tangem er bij alle gebruikers op aan om hun mobiele applicaties onmiddellijk bij te werken. Hoewel het bedrijf beweert het probleem te hebben opgelost, benadrukt het incident het cruciale belang van robuuste beveiligingsmaatregelen in de cryptocurrency-industrie.
In gerelateerd nieuws meldde Byte Federal, een van de grootste exploitanten van Bitcoin geldautomaten in de VS, onlangs een aanzienlijk datalek waarbij mogelijk 58.000 klanten betrokken waren.
