Американська криптовалютная біржа Coinbase повідомила, що виявила вразливість, з-за якої частина паролів її клієнтів зберігалася у вигляді простого тексту у внутрішньому журналі сервера.
В повідомленні біржі йдеться, що дана інформація не була доступна зовнішнім сторонам. У своєму блозі Coinbase розповіла про «проблему зберігання паролів», яка торкнулася близько 3 500 клієнтів. Уразливість призвела до того, що особиста інформація користувачів, включаючи паролі, була збережена у вигляді відкритого тексту в системі протоколювання на внутрішньому сервері біржі.
«При дуже специфічному і рідкому стані помилки форма на нашій сторінці реєстрації завантажувалася неправильно. Це означало, що будь-яка спроба створити новий обліковий запис Coinbase при таких умовах виявлялася невдалою. На жаль, це також означало, що ім’я людини, адресу електронної пошти і пропонований пароль відправлялися в наші внутрішні журнали», – йдеться в повідомленні біржі.
У 3 420 випадках потенційні клієнти використовували один і той же пароль при другій спробі реєстрації, яка виявлялася успішною. Таким чином, використовуваний ними пароль збігався з паролем, збереженим у журналах компанії. Ці клієнти отримали від Coinbase відповідне повідомлення по електронній пошті.
Помилка сталася через використання Coinbase візуалізації на стороні сервера React.js на сторінці реєстрації. Коли користувач заходив на сторінку, щоб зареєструвати обліковий запис, React допомагав відобразити форму, яку потрібно було заповнити. В повідомленні біржі йдеться:
«Будь-який користувач, що бажає зареєструватися, має активувати JavaScript. Практично у всіх випадках React обробляє перевірку форми і її відправлення на сервер. Однак, якщо у користувача відключений JavaScript або його браузер отримав помилку React.js при завантаженні, досить попередньо визуализированной форми HTML, яку користувач міг заповнити і спробувати відправити нам».
Оскільки форма HTML «була базовою», атрибути action або method не задавалися. Це призвело до того, що деякі браузери за замовчуванням встановлювали параметр GET, який кодував змінні значення форми як частину даних журналу. Біржа виправила проблему, переключивши метод форми за замовчуванням на POST, щоб гарантувати, що дані не реєструються.
«Ми впроваджуємо додаткові механізми для виявлення та запобігання ненавмисного появи такого роду помилки в майбутньому», – йдеться в повідомленні в блозі.
Coinbase також відстежила місця, де можуть зберігатися журнали, включаючи систему, розміщену на Amazon Web Services, і деяких «постачальників послуг аналізу журналів». «Ретельний аналіз доступу до цих систем реєстрації не виявив несанкціонованого доступу до даних», – повідомила біржа, зазначивши, що доступ до кожної з систем «строго обмежений і пройшов аудит».
Coinbase також ініціювала скидання пароля для будь-якої особи, чия обліковий запис була порушена цією помилкою. «Хоча ми впевнені, що виправили основну причину та інформація не використовувалася неналежним чином, а також не була скомпрометована, ми вимагаємо, щоб ці клієнти поміняли свої паролі в якості запобіжного заходу», – йдеться в повідомленні.
Витік даних користувачів криптовалютных бірж – не рідкісна ситуація. Нещодавно Binance спростувала чутки про витік даних користувачів, а в даркнете почали продавати передбачувані дані користувачів біржі Huobi.
Thanks!
Our editors are notified.