Криптогаманець Tangem усунув критичну вразливість безпеки на мобільному додатку
Оновлення (31 грудня, 12:40 за UTC): Ця стаття була оновлена, щоб включити заяву Tangem для CryptoAcademy про вразливість безпеки, її виправлення та підхід компанії до вирішення ситуації.
Постачальник криптогаманців Tangem усунув серйозну вразливість безпеки у своєму мобільному додатку, яка збирала приватні ключі деяких користувачів через електронну пошту.
Виправлення відбулося після того, як користувачі Reddit неодноразово критикували Tangem за створення ризику для коштів інвесторів, через те, що їхні приватні ключі могли потрапити до електронних скриньок користувачів і співробітників Tangem.
29 грудня обговорення в Reddit, присвячене операціям Tangem, привернуло увагу, де було заявлено, що провайдер гаманців дозволяв приватним ключам залишатися в історії електронної пошти. Один із користувачів, u/areklanga, додав, що Tangem не надав “розумної реакції”, коли раніше було вказано на проблему.
«Отже, приватні ключі користувачів залишаються як в їх історії електронної пошти, так і в історії електронної пошти Tangem, а, можливо, і в системі реєстрації заявок Tangem, що робить усіх користувачів Tangem уразливими.»
Також стверджувалося, що оригінальний пост у Reddit, який згадував про цей збій, «з якоїсь причини був видалений».
Tangem оперативно усунув помилку
30 грудня Tangem визнав проблему та заявив, що інцидент виник через помилку в логах мобільного додатка, яку було “повністю виправлено”. Також компанія надала пояснення щодо ситуації:
«У чому полягала проблема? Під час створення гаманця з допомогою seed-фрази, приватний ключ випадково записувався у журнали додатку. Ці записи могли бути доступні під час взаємодії з нашою службою підтримки.»
Згідно з повідомленням компанії в Reddit, ця помилка вплинула на невелику кількість користувачів, яких вже було поінформовано для забезпечення безпеки:
«Це могло вплинути на дуже обмежену групу користувачів: конкретно на тих, хто використовував згенеровану seed-фразу, а потім одразу направляв запит до служби підтримки через додаток. Це не стосується інших користувачів.»
У своїй заяві для CryptoAcademy Tangem підтвердив, що вразливість стосувалася менше ніж 0,1% користувачів за певних обставин.
Потенційно постраждали лише користувачі, які активували гаманці за допомогою seed-фрази та зверталися за підтримкою протягом семи днів після активації. Користувачі без seed-фраз чи ті, хто не звертався через додаток до підтримки, не зазнали ризиків.
«Жоден приватний ключ не було скомпрометовано, кошти користувачів не були втрачені, і не було несанкціонованого доступу до акаунтів,» — заявили в Tangem, реагуючи на побоювання криптоспільноти. На момент публікації офіційний сайт Tangem, який фіксує всі оновлення версій мобільного додатка, не згадував про оновлення від 30 грудня.
Компанія також підтвердила у своїй відповіді в Reddit, що «усі журнали та вкладення, надіслані до служби підтримки, були остаточно видалені, щоб гарантувати відсутність залишкових даних.»
Tangem звинуватили у применшенні ситуації
Хоча Tangem випустив оновлення 30 грудня для запобігання подальшим витокам seed-фраз, деякі члени криптоспільноти звинуватили постачальника гаманців у слабкій публічній реакції. Однак у Tangem повідомили CryptoAcademy, що проблема була прозоро вирішена, а постраждалі користувачі отримали прямі комунікації.
На момент публікації 31 грудня Tangem не зробив жодних оголошень у своїх офіційних соціальних каналах, таких як Twitter, Discord або Telegram. Проте всім користувачам Tangem рекомендується негайно оновити свої мобільні додатки, щоб уникнути потенційного витоку seed-фраз.
У відповідь на проблему Tangem повідомив CryptoAcademy, що компанія впровадила додаткові заходи безпеки, включаючи вдосконалені протоколи безпеки, проактивну програму сповіщення постраждалих користувачів з чіткими інструкціями та підтримкою, а також програму пошуку вразливостей, яка передбачає винагороду за виявлення помилок.
