Tangem, un fournisseur de portefeuilles crypto, a récemment identifié un risque de sécurité significatif dans son application mobile qui a involontairement collecté les clés privées des utilisateurs lors d'interactions par e-mail.
Cette correction a suivi des avertissements répétés de membres qui ont exprimé des préoccupations concernant les risques de sécurité potentiels. Ils ont indiqué que les clés privées des utilisateurs étaient collectées via des interactions par e-mail dans l'application mobile de Tangem.
Les utilisateurs de Tangem font face à des risques de sécurité critiques
Le 29 décembre, une discussion sur Reddit a mis en évidence une vulnérabilité de sécurité potentielle dans le portefeuille de Tangem. Les utilisateurs ont révélé que les clés privées étaient stockées dans les historiques d'e-mail, les exposant potentiellement aux employés de Tangem.
Un utilisateur de Reddit connu sous le nom de « u/areklanga » a exposé la vulnérabilité dans un forum, suscitant des inquiétudes au sein de la communauté.
« Donc, les clés privées des utilisateurs restent dans l'historique des e-mails des utilisateurs, l'historique des e-mails de Tangem, et peut-être dans un système de suivi des tickets de Tangem et sont disponibles pour les employés de Tangem. Ce qui compromet tous les utilisateurs de Tangem, » a déclaré l'utilisateur.
Les utilisateurs ont également noté que le message original sur Reddit détaillant le glitch avait été mystérieusement supprimé, suscitant des soupçons sur la réponse initiale de Tangem. Dès que ces préoccupations ont été validées, les utilisateurs ont inondé les employés de Tangem et le support par e-mail.
Pendant ce temps, le 30 décembre, Tangem a reconnu le problème et l'a attribué à un bug dans la fonction de traitement des journaux de l'application mobile. Ils ont publié une déclaration confirmant qu'ils avaient « entièrement résolu » le bug.
« Lors de la création d'un portefeuille avec une phrase de départ, la clé privée a été accidentellement enregistrée dans les journaux de l'application. Ces journaux pouvaient ensuite être consultés lors des interactions avec notre équipe de support, » a déclaré Tangem dans une déclaration sur Reddit.
Tangem a précisé que le bug avait un impact limité. Il n'a affecté que les utilisateurs qui ont généré une phrase de départ et ont immédiatement fait une demande de support. Il a ajouté que Tangem avait supprimé tous les journaux reçus par l'équipe de support.
Les utilisateurs accusent Tangem de minimiser la situation
Bien que Tangem ait rapidement traité la vulnérabilité, certains membres de la communauté crypto ont exprimé des préoccupations concernant la stratégie de communication de l'entreprise. En particulier, ils ont critiqué le manque d'annonces publiques concernant la vulnérabilité sur les plateformes officielles de médias sociaux de Tangem.
« Je trouve frustrant que Tangem minimise l'ampleur de cet événement. Bien qu'ils prétendent qu'un « très petit groupe d'utilisateurs » a envoyé un e-mail avec leurs clés, combien d'utilisateurs ont eu leurs clés écrites en clair sur leurs téléphones dans un fichier journal ? » a déclaré un utilisateur de Reddit.
Au moment de la publication le 31 décembre, Tangem n'avait pas encore fait d'annonces officielles concernant le risque de sécurité sur ses canaux de médias sociaux.
Tangem a conseillé à tous les utilisateurs de mettre immédiatement à jour leurs applications mobiles vers la dernière version pour atténuer les risques potentiels associés à la vulnérabilité.