Coinbase révèle un problème de mot de passe touchant 3 500 clients

Coinbase révèle un problème de mot de passe touchant 3 500 clients
4.8 (95%) 36 votes


Crypto Exchange, Coinbase a révélé une vulnérabilité potentielle vendredi, annonçant qu'une infime fraction des mots de passe de ses clients était stockée en texte brut dans un journal de serveur interne. Toutefois, l'information n'a pas été consultée de manière inappropriée par des tiers, a déclaré la Bourse.

Dans un post-mortem partagé avec CoinDesk, Coinbase décrivait «un problème de stockage de mot de passe», touchant moins de 3 500 clients (sur plus de 30 millions dans le monde). Des informations personnelles, notamment les mots de passe, ont ensuite été stockées en clair sur des serveurs internes. systèmes d'exploitation forestière.

"Sous une condition d'erreur très spécifique et rare, le formulaire d'inscription sur notre page d'inscription ne serait pas chargé correctement, ce qui signifiait que toute tentative de créer un nouveau compte Coinbase dans ces conditions échouerait", explique l'article. «Malheureusement, cela signifiait également que le nom de la personne, son adresse électronique et le mot de passe proposé (ainsi que son lieu de résidence aux États-Unis) seraient envoyés à nos journaux internes.»

Dans 3 420 instances, les clients potentiels ont utilisé le même mot de passe lors de leur deuxième tentative d’inscription, ce qui aurait permis d’obtenir un mot de passe correspondant à la version hachée figurant dans les journaux de l’entreprise. Coinbase a averti ces clients par courrier électronique vendredi.

Le bogue s’est produit en raison de l’utilisation du rendu côté serveur de React.js par Coinbase sur la page d’inscription. En gros, lorsqu'un utilisateur visite la page pour créer un compte, React aide à afficher le formulaire à remplir.

«Tout utilisateur qui tente de s'inscrire doit avoir JavaScript activé et doit le charger correctement», a expliqué le message, en expliquant:

«Dans pratiquement toutes les circonstances, ces deux choses sont vraies et React gère la validation du formulaire et sa soumission au serveur. Cependant, si un utilisateur avait JavaScript désactivé ou son navigateur recevait une erreur React.js lors du chargement, le code HTML prédéfini était suffisant pour qu'un utilisateur puisse remplir et tenter de soumettre notre formulaire d'enregistrement. ”

Comme le formulaire HTML «était extrêmement basique», aucun attribut «action» ou «méthode» n'a été défini. En raison de comportements par défaut, certains navigateurs sont par défaut sur «GET», qui code les variables de formulaire dans les données du journal.

L'échange a résolu le problème en basculant la méthode de formulaire par défaut sur «POST», afin de garantir que les données ne sont plus consignées.

Bien que Coinbase ait recherché d’autres formes «avec ce comportement problématique», l’échange n’en a identifié aucune.

"Nous sommes également en train de mettre en œuvre des mécanismes supplémentaires pour détecter et empêcher l'introduction par inadvertance de ce type de bugs à l'avenir", a déclaré le blog.

En réponse à cette découverte, Coinbase a indiqué avoir suivi les différents emplacements où les journaux pourraient être stockés, y compris un système hébergé sur Amazon Web Services et certains «fournisseurs de services d'analyse de journaux».

"Un examen approfondi de l'accès à ces systèmes de journalisation n'a révélé aucun accès non autorisé à ces données", a-t-il ajouté, ajoutant que l'accès à chacun des systèmes était "strictement limité et audité".

Coinbase a déclaré avoir également déclenché la réinitialisation du mot de passe de toute personne dont le compte avait été touché. (La publication de blog ajoute qu'elle requiert une authentification à deux facteurs en plus d'un mot de passe pour permettre aux utilisateurs de se connecter à des comptes.)

"Nous sommes convaincus que nous avons corrigé la cause du problème et que les informations enregistrées n'ont pas été mal utilisées, utilisées ou compromises, mais nous demandons à ces clients de modifier leur mot de passe par précaution," explique le message.

«Pour rappel, Coinbase maintient également un actif, qui a déboursé plus d'un quart de million de dollars à ce jour. Bien que ce bug particulier ait été découvert en interne, nous invitons les chercheurs en sécurité à soumettre des rapports chaque fois qu'ils pensent avoir découvert une faille dans l'un de nos systèmes », a conclu l'échange.

La divulgation de Coinbase survient peu après que Binance et Huobi aient été victimes de véritables atteintes à la sécurité des données. Contrairement à Coinbase, Binance et Huobi semblent avoir perdu le contrôle des données de connaissance de votre client, y compris des documents de vérification d'identité.

Image de Brian Armstrong via les archives CoinDesk

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *