3500 jelszó szivárgott ki a Coinbaseről
Több ezer jelszó szivárgott ki a Coinbase kriptopénz tőzsdéről. Minden Coinbase felhasználónak ajánljuk, ellenőrizze a számláját és változtassa meg a jelszavát.
3500 jelszó szivárgott ki
Pénzeken a saját blogján számolt be a Coinbase egy post-mortem bejegyzés keretein belül, hogy az ügyfelek egy kis százalékánál a jelszavak kódolás nélkül kerültek ki a szerverre. A poszt szerint azonban illetéktelenek nem férhettek hozzá az információhoz. Brian Armstrong, a cég CEO-ja leírta, hogy mindössze 3500 ügyfél érintett az ügyben (a Coinbasenek világszerte több, mint 30 millió ügyfele van).
A problémát az okozta, hogy egy ritka, specifikus hiba esetén, a regisztrációs oldal nem töltött be rendesen. Emiatt amikor valaki egy új Coinbase számlát szeretett volna létrehozni, ezt nem tudta megtenni. A beírt jelszavát azonban, az ügyfél egyéb adataival együtt a rendszer elmentette egy belső szervernaplóban. Ez a napló logolta az ügyfél nevét, email címét és a megadott jelszót is, mindezt mindenféle kódolás nélkül, egy egyszerű szövegfájlban. További gondot okozott, hogy 3420 esetben a regisztrálni próbáló ügyfelek másodszorra ugyanazt a jelszót adták meg, amely révén már ugyan sikerült új fiókot létrehozni azonban a jelszó már szerepelt a cégnél egyszerű szöveg formátumban is. Ezeket az ügyfeleket a Coinbase külön értesítette már pénteken, nekik a következő belépéskor automatikusan új jelszót kell majd megadniuk.
A hiba a Coinbase regisztrációs felületének kódjában volt, a kitöltésre használt űrlap nem tartalmazott megoldást minden eshetőségre.
A Coinbase maga fedezte fel a problémát és azonnal ki is javították az oldalt, biztosítják, hogy hasonló nem fordulhat most már elő regisztrációkor. Emellett a váltó átnézte az összes hasonló oldalt is, ahol űrlapokat használtak, de hasonló problémát nem találtak. Azon is dolgoznak, hogy hasonló hibákat szisztematikusan ki tudjanak szűrni a rendszerből.
Miután átnézték a szervernapló hozzáféréseket kiderült, senki illetéktelen nem férhetett hozzá a kiszivárgott jelszavakhoz.
Bug Bounty a Coinbasen
A Coinbase továbbá felhívta a figyelmet rá, hogy továbbra is fut a bug bounty programja, ahol hasonló hibajelentésekért még pénz is lehet keresni. A program indulása óta, már negyed millió dollárt fizettek ki bounty huntereknek és továbbra is várják a megkereséseket, melyben olyan problémákra hívják fel a figyelmet, mely az ő figyelmüket elkerülhette.