3500 jelszó szivárgott ki a Coinbaseről

Több ezer jelszó szivárgott ki a Coinbase kriptopénz tőzsdéről. Minden Coinbase felhasználónak ajánljuk, ellenőrizze a számláját és változtassa meg a jelszavát. 

Elindulnál, de nem tudod hogyan állj neki? Diverzifikálnál, új kocsira gyűjtesz vagy csak a lakáshitelt kell ledolgoznod? A kriptodevizák 10 év alatt a világ legforróbb befektetési eszközeivé váltak. A CoinCash magyar kriptodeviza váltó segít elindulni.

3500 jelszó szivárgott ki

Pénzeken a saját blogján számolt be a Coinbase egy post-mortem bejegyzés keretein belül, hogy az ügyfelek egy kis százalékánál a jelszavak kódolás nélkül kerültek ki a szerverre. A poszt szerint azonban illetéktelenek nem férhettek hozzá az információhoz. Brian Armstrong, a cég CEO-ja leírta, hogy mindössze 3500 ügyfél érintett az ügyben (a Coinbasenek világszerte több, mint 30 millió ügyfele van).

A problémát az okozta, hogy egy ritka, specifikus hiba esetén, a regisztrációs oldal nem töltött be rendesen. Emiatt amikor valaki egy új Coinbase számlát szeretett volna létrehozni, ezt nem tudta megtenni. A beírt jelszavát azonban, az ügyfél egyéb adataival együtt a rendszer elmentette egy belső szervernaplóban. Ez a napló logolta az ügyfél nevét, email címét és a megadott jelszót is, mindezt mindenféle kódolás nélkül, egy egyszerű szövegfájlban. További gondot okozott, hogy 3420 esetben a regisztrálni próbáló ügyfelek másodszorra ugyanazt a jelszót adták meg, amely révén már ugyan sikerült új fiókot létrehozni azonban a jelszó már szerepelt a cégnél egyszerű szöveg formátumban is. Ezeket az ügyfeleket a Coinbase külön értesítette már pénteken, nekik a következő belépéskor automatikusan új jelszót kell majd megadniuk.

A hiba a Coinbase regisztrációs felületének kódjában volt, a kitöltésre használt űrlap nem tartalmazott megoldást minden eshetőségre.

A Coinbase maga fedezte fel a problémát és azonnal ki is javították az oldalt, biztosítják, hogy hasonló nem fordulhat most már elő regisztrációkor. Emellett a váltó átnézte az összes hasonló oldalt is, ahol űrlapokat használtak, de hasonló problémát nem találtak. Azon is dolgoznak, hogy hasonló hibákat szisztematikusan ki tudjanak szűrni a rendszerből.

Miután átnézték a szervernapló hozzáféréseket kiderült, senki illetéktelen nem férhetett hozzá a kiszivárgott jelszavakhoz.

Bug Bounty a Coinbasen

A Coinbase továbbá felhívta a figyelmet rá, hogy továbbra is fut a bug bounty programja, ahol hasonló hibajelentésekért még pénz is lehet keresni. A program indulása óta, már negyed millió dollárt fizettek ki bounty huntereknek és továbbra is várják a megkereséseket, melyben olyan problémákra hívják fel a figyelmet, mely az ő figyelmüket elkerülhette.

Zs

“Right now Bitcoin feels like the Internet before the browser.” - Wences Casares

Vélemény, hozzászólás?

Az email címet nem tesszük közzé.