Tangem, постачальник криптогаманців, нещодавно виявив значний ризик безпеки у своєму мобільному додатку, який ненавмисно збирав приватні ключі користувачів під час взаємодії з електронною поштою.
Це виправлення було здійснено після неодноразових попереджень від учасників, які висловлювали занепокоєння щодо потенційних ризиків безпеки. Вони вказували, що приватні ключі користувачів збиралися через взаємодії з електронною поштою в мобільному додатку Tangem.
Користувачі «Tangem» стикаються з критичними ризиками безпеки
29 грудня на Reddit обговорювалася потенційна вразливість безпеки в гаманці Tangem. Користувачі виявили, що приватні ключі зберігалися в історії електронної пошти, потенційно піддаючи їх співробітникам Tangem.
Користувач Reddit під ніком “u/areklanga” викрив вразливість на форумі, викликавши занепокоєння в спільноті.
“Отже, приватні ключі користувачів залишаються як в історії електронної пошти користувача, так і в історії електронної пошти Tangem, і, можливо, в якійсь системі відстеження квитків Tangem, і доступні для співробітників Tangem. Це робить усіх користувачів Tangem скомпрометованими,” сказав користувач.
Користувачі також зазначили, що оригінальний пост на Reddit, який детально описував помилку, був загадково видалений, що викликало підозри щодо початкової реакції Tangem. Як тільки ці занепокоєння були підтверджені, користувачі заполонили співробітників Tangem та підтримку електронною поштою.
Тим часом, 30 грудня, Tangem визнав проблему і приписав її помилці в функції обробки журналів мобільного додатку. Вони випустили заяву, підтверджуючи, що вони “повністю вирішили” цю помилку.
“При створенні гаманця з фразою для відновлення, приватний ключ помилково записувався в журнали додатку. Ці журнали могли бути доступні під час взаємодії з нашою командою підтримки,” Tangem сказав у заяві на Reddit.
Tangem уточнив, що помилка мала обмежений вплив. Вона торкнулася лише користувачів, які згенерували фразу для відновлення і негайно зробили запит на підтримку. Вони додали, що Tangem видалив усі журнали, отримані командою підтримки.
Користувачі звинувачують Tangem у применшенні ситуації
Хоча Tangem швидко вирішив проблему, деякі члени криптоспільноти висловили занепокоєння щодо стратегії комунікації компанії. Зокрема, вони критикували відсутність публічних оголошень щодо вразливості на офіційних соціальних платформах Tangem.
“Мене дратує, як Tangem применшує масштаби цієї події. Хоча вони стверджують, що лише “дуже мала група користувачів” надіслала електронний лист зі своїми ключами, скільки користувачів мали свої ключі, записані у вигляді звичайного тексту на свої телефони у файлі журналу?” сказав один користувач Reddit.
На момент публікації 31 грудня Tangem ще не зробив жодних офіційних оголошень щодо ризику безпеки на своїх каналах у соціальних мережах.
Tangem порадив усім користувачам негайно оновити свої мобільні додатки до останньої версії, щоб зменшити потенційні ризики пов’язані з вразливістю.
Дисклеймер
Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Полiтика конфіденційності та Дисклеймер були оновлені.
