Tangem исправляет критическую ошибку после критики Reddit
Tangem устраняет ключевой недостаток экспозиции
Провайдер криптовалютных кошельков Tangem устранил серьезную уязвимость в своем мобильном приложении, которая раскрывала приватные ключи некоторых пользователей через журналы электронной почты.
Исправление стало ответом на растущую критику со стороны криптосообщества, в частности на Reddit, где пользователи обвинили Tangem в том, что он поставил под угрозу средства инвесторов, не сумев защитить конфиденциальные данные, сообщает Cointelegraph.
Подробности инцидента
Проблема привлекла внимание 29 декабря, когда пользователь Reddit u/areklanga заявил, что Tangem собирает приватные ключи пользователей по электронной почте. В сообщении также утверждалось, что ранее Tangem игнорировал предупреждения об уязвимости. По словам пользователя, приватные ключи хранились в историях электронной почты как пользователей, так и Tangem, а также, возможно, во внутренних тикет-системах Tangem, что делало их доступными для сотрудников компании. Они также отметили, что предыдущий пост на Reddit с подробным описанием уязвимости был таинственным образом удален.
Реакция и действия Tangem
30 декабря Tangem признала наличие проблемы, подтвердив, что она возникла из-за ошибки в системе обработки логов приложения. Компания объяснила, что приватные ключи, созданные при создании кошелька, были случайно записаны в журнал и могли быть доступны, если пользователи обращались в службу поддержки Tangem. Последующее обновление было выпущено для устранения проблемы.
В заявлении на Reddit компания Tangem заверила пользователей, что все журналы и вложения, ранее отправленные в службу поддержки, были удалены навсегда. Компания подчеркнула, что проблема могла затронуть лишь небольшую группу пользователей, которые генерировали seed-фразы и сразу же обратились в службу поддержки. С этими пользователями напрямую связываются для получения помощи.
"После тщательного расследования мы можем с уверенностью подтвердить, что никакие приватные ключи не были скомпрометированы, никакие средства пользователей не были потеряны, и никакие аккаунты не были доступны", - говорится в комментариях Tangem.
Критика из-за отсутствия прозрачности
Несмотря на выпуск патча, Tangem подвергся критике за недостаток прозрачности. Как критики, так и пользователи Tangem отметили, что на официальном сайте компании и в социальных сетях не было ни упоминания об уязвимости, ни ее устранения.
"Планируете ли вы поделиться этим объявлением более широко, чем просто комментарий к какому-то сообщению на Reddit? Я думаю, что официальный блог и Telegram были бы подходящими местами для этого", - отметил пользователь solodkiy.
Чтобы снизить потенциальные риски, Tangem призвал всех пользователей немедленно обновить свои мобильные приложения. Хотя компания утверждает, что проблема решена, этот инцидент подчеркивает исключительную важность надежных мер безопасности в криптовалютной индустрии.
Недавно компания Byte Federal, один из крупнейших операторов биткоин-банкоматов в США, сообщила о значительной утечке данных, которая могла затронуть 58 000 клиентов.
