Tangem виправив критичну помилку після критики на Reddit
Tangem усуває ключовий недолік експозиції
Постачальник криптовалютних гаманців Tangem усунув серйозну вразливість у своєму мобільному додатку, яка дозволяла отримати приватні ключі деяких користувачів через журнали електронної пошти.
Виправлення було зроблено у відповідь на зростаючу критику з боку криптовалютної спільноти, зокрема на Reddit, де користувачі звинуватили Tangem у тому, що він поставив під загрозу кошти інвесторів через нездатність захистити конфіденційні дані, повідомляє Cointelegraph.
Деталі інциденту
Проблема привернула увагу 29 грудня, коли користувач Reddit u/areklanga стверджував, що Tangem збирає приватні ключі користувачів через електронну пошту. У дописі також стверджувалося, що раніше Tangem ігнорував попередження про вразливість. За словами користувача, приватні ключі зберігалися в історії електронної пошти як користувача, так і Tangem, а також, можливо, у внутрішніх системах продажу квитків Tangem, що робило їх доступними для співробітників компанії. Вони також зазначили, що попередній пост на Reddit, який детально описував вразливість, був таємничим чином видалений.
Реакція та дії Tangem
30 грудня Tangem визнав проблему, підтвердивши, що вона виникла через помилку в системі обробки логів додатку. Компанія пояснила, що приватні ключі, згенеровані під час створення гаманця, були випадково записані в журнал, і доступ до них можна було отримати, якщо користувачі взаємодіяли зі службою підтримки Tangem. Наступне оновлення було випущено, щоб виправити цю проблему.
У заяві на Reddit Tangem запевнила користувачів, що всі логи і вкладення, надіслані раніше до служби підтримки, були видалені назавжди. Компанія підкреслила, що це могло вплинути лише на невелику групу користувачів, які генерували посівні фрази і негайно звернулися до служби підтримки. З цими користувачами зв'язуються безпосередньо для надання допомоги.
"Після ретельного розслідування ми можемо з упевненістю підтвердити, що жодні приватні ключі не були скомпрометовані, кошти користувачів не були втрачені, а доступ до облікових записів не був отриманий", - йдеться в коментарі Tangem.
Критика через відсутність прозорості
Незважаючи на випуск виправлення, Tangem зіткнувся з критикою за недостатню прозорість. Як критики, так і користувачі Tangem звернули увагу на те, що на офіційному сайті компанії та в соціальних мережах не було жодної згадки про вразливість або її усунення.
"Чи плануєте ви поділитися цим оголошенням ширше, ніж просто коментар до якогось посту на Reddit? Я думаю, що офіційний блог і Telegram були б хорошими місцями для цього", - зазначив користувач solodkiy.
Щоб зменшити потенційні ризики, Tangem закликав усіх користувачів негайно оновити свої мобільні додатки. Хоча компанія стверджує, що вирішила проблему, цей інцидент підкреслює критичну важливість надійних заходів безпеки в криптовалютній індустрії.
До речі, нещодавно компанія Byte Federal, один з найбільших операторів біткоїн-банкоматів в США, повідомила про значний витік даних, який міг вплинути на 58 000 клієнтів.
