近日,美国最大的加密货币交易所Coinbase注册页面上埋伏着一个“盗窃”隐私的Bug,3000多名用户都中了招。
Coinbase的Bug将客户的信息包括姓名、电子邮件、密码等都以文本的形式保存在了公司内部Web服务器的日志上。
Coinbase承认,这个漏洞总共影响了3420个客户:
在“非常具体”且极少出现错误的情况下,我们注册页面上的注册表格无法正确加载,这意味着在这些条件下去创建新的Coinbase帐户的都将失败。不幸的是,它还意味着个人的姓名、电子邮件地址、建议的密码(以及用户所在地,如果他在美国的话)将被发送到我们的内部日志中。
该交易所表示,重新提交表单的用户的密码和其他详细信息已经进行安全散列处理。但上述3420个客户因为漏洞的问题将他们的隐私数据发送到了Coinbase服务器上。
Bug已修复
当漏洞出现后,Coinbase及时展开了调查。该公司表示,他们追踪了整个存储线,以确认它没有保存任何客户的个人信息。
Coinbase在博客中写道:“我们在AWS中托管了一个内部日志记录系统……访问这些系统受到严格的限制与审计,(我们)对这些记录系统的访问进行了全面的审查并没有发现有任何未经授权访问此数据的情况。”
目前该Bug已经修复,该公司还允许受影响的客户进行密码重置,其表示只有密码才能让潜在的黑客窃取他们的比特币,并解释说他们使用强制性电子邮件和2FA身份验证来保护每个帐户。
安全问题一直是加密领域最关心的问题之一,许多黑客都是通过抓住安全漏洞而成功窃取数亿美元加密资产。
此次Coinbase突发的Bug也让他的用户捏了一把汗,但从历史上来说,Coinbase在安全方面表现较好,从未被黑客入侵。此外,Coinbase还在HackerOne上开设了一个活跃的Bug赏金计划,迄今已支付了超过25万美元。
加密货币交易所用户隐私难保
区块链,一项保障安全,保护隐私的技术。
然而,在这个领域,用户隐私泄露的事件却在频繁发生,近期这个问题似乎显得越发严重,有的是由于安全漏洞问题,有的是人为泄露问题,有的是黑客攻击……
币安KYC事件就是近期的一个典型隐私泄露事件,黑客通过各种途径盗取了币安大量用户的KYC资料,而这个现象在去年就已经存在,今年自称是黑客的推特用户声称将公布更多币安KYC信息。
不仅是币安,其他交易所的信息也在市场中被做着“黑色交易”,今年年初就有媒体报道有黑客在暗网售卖用户KYC。
CCN 报道称,一个名为“ExploitDOT”的供应商,在“Dread”的暗网上,出售顶级加密货币交易所,被大多数司法管辖区所强行要求的用户 KYC数据。该黑客声称已经攻击并获取了包括身份证、驾驶证的大量 KYC 文件,而这些KYC来自 Bittrex,Poloniex、Bitfinex 和币安等顶级交易所。
本文地址: https://www.xiguacaijing.com/news/guandian/2019/11962.html
赞助商