Провайдер криптовалютных кошельков Tangem сообщил об устранении критической уязвимости безопасности в своем мобильном приложении, которая могла раскрыть личные ключи некоторых пользователей через электронную почту.
Уязвимость была обнаружена после обсуждений на Reddit, которые подчеркнули риски для средств пользователей. Пользователи Reddit раскритиковали Tangem за раскрытие личных ключей в учетных записях электронной почты и за то, что они были доступны ее сотрудникам.
Уязвимость кошелька Tangem: что произошло?
29 декабря пользователь Reddit u/areklanga поднял тревогу, заявив, что Tangem не смог оперативно устранить проблему. Он утверждал, что личные ключи хранились в истории электронной почты и, возможно, во внутренних системах Tangem.
Пользователь также отметил, что более ранний пост на Reddit, указывающий на проблему, был загадочным образом удален. Tangem признал недостаток 30 декабря и выпустил исправление ошибки для решения проблемы.
В заявлении по этому вопросу Tangem заверил своих пользователей, что проблема полностью решена. Компания заявила:
«Мы искренне ценим ваши отзывы по этому вопросу и хотим заверить вас, что он был полностью решен. В Tangem мы уделяем приоритетное внимание прозрачности, безопасности и доверию, и мы относимся к таким вопросам крайне серьезно».
По данным Tangem, уязвимость возникла из-за ошибки в системе обработки журналов приложения. Этот недостаток затронул ограниченную группу пользователей, которые создали кошельки с использованием сид-фраз и связались со службой поддержки напрямую через приложение. Журналы, которые включали личные ключи, были доступны в течение короткого периода времени до их удаления.
Компания уточнила, что пользователи, которые активировали свои кошельки без сид-фраз, не пострадали, поскольку их личные ключи генерируются непосредственно на аппаратных картах Tangem.
«Личные ключи не существуют при таких настройках, поэтому они не могут быть извлечены кем-либо, даже Tangem», – поясняют представители компании.
Хотя общее воздействие было минимальным, затронув менее 0,1% пользователей, Tangem признал серьезность ситуации:
«Мы признаем доверие, которое вы оказываете Tangem, и мы полностью привержены поддержанию этого доверия, соблюдая самые высокие стандарты безопасности и прозрачности».
Tangem исправил ошибку безопасности, обещает отсутствие компрометации личных ключей
Tangem быстро отреагировал, выявив ошибку, исправив ее и обновив приложение, чтобы личные ключи больше не регистрировались ни при каких обстоятельствах.
Чтобы еще больше защитить пользователей, компания навсегда удалила все журналы и вложения, отправленные в ее службу поддержки, и внедрила усиленные протоколы безопасности для предотвращения подобных проблем в будущем.
Tangem также обращается напрямую к потенциально пострадавшим пользователям, предоставляя четкие инструкции по защите своих учетных записей. Компания настоятельно призывает всех пользователей обновить приложение Tangem до последней версии для оптимальной безопасности.
Кроме того, Tangem подчеркнула свою активную программу по поиску ошибок, которая стимулирует исследователей безопасности и этичных хакеров к выявлению уязвимостей системы.
Tangem заверила свое сообщество, что никакие личные ключи не были скомпрометированы, никакие средства не были потеряны и не произошло несанкционированного доступа из-за ошибки. Несмотря на исправление, некоторые члены криптосообщества раскритиковали Tangem за недостаточную прозрачность.
По состоянию на 31 декабря компания не объявляла о проблеме в своих социальных сетях, включая Twitter, Discord или Telegram.
Новость Tangem исправляет сбой электронной почты была опубликована на Cryptonews На Русском.
