Les risques de sécurité ont frappé les utilisateurs de Tangem
Le fournisseur de portefeuille crypto Tangem a récemment abordé un défaut de sécurité critique dans son application mobile qui exposait involontairement les clés privées des utilisateurs lors des interactions par email avec le support client.
La vulnérabilité, mise en lumière pour la première fois dans un post Reddit par l'utilisateur "u/areklanga" le 29 décembre, a révélé que les clés privées étaient stockées dans les historiques d'email, potentiellement accessibles aux employés de Tangem.
L'utilisateur a déclaré :
“Ainsi, les clés privées des utilisateurs restent à la fois dans l'historique des emails des utilisateurs, l'historique des emails de Tangem, et peut-être dans un système de suivi des tickets de Tangem et sont disponibles pour les employés de Tangem. Ce qui compromet tous les utilisateurs de Tangem.”
Suite à un examen intensif de la part de la communauté, Tangem a reconnu le problème le 30 décembre, l'attribuant à un bogue dans la fonction de traitement des journaux de l'application.
La société a assuré aux utilisateurs que le bogue avait été "pleinement résolu" et a souligné son ampleur limitée, n'affectant que ceux qui avaient généré une phrase de récupération et contacté immédiatement le support.
Tangem a déclaré dans un communiqué sur Reddit :
“Lors de la création d'un portefeuille avec une phrase de récupération, la clé privée a été accidentellement enregistrée dans les journaux de l'application. Ces journaux pouvaient ensuite être consultés lors des interactions avec notre équipe de support.”
Tangem a également confirmé que tous les journaux affectés avaient été supprimés.
Bien que la résolution rapide offre une certaine assurance, l'incident a suscité des préoccupations plus larges concernant les pratiques de sécurité et la transparence dans l'espace des portefeuilles crypto, mettant au défi Tangem de reconstruire la confiance parmi ses utilisateurs.
Tangem minimise la situation selon les utilisateurs
Malgré l'action rapide de Tangem pour résoudre la vulnérabilité de sécurité, des préoccupations ont émergé au sein de la communauté crypto concernant l'approche de communication de la société.
Les critiques ont souligné l'absence d'annonces publiques sur les canaux de médias sociaux officiels de Tangem, laissant de nombreux utilisateurs dans l'ignorance du problème.
ALERTE : Il y a eu une alerte de sécurité sur le portefeuille Tangem, mais avant que les gens ne perdent la tête et disent que les portefeuilles Tangem ne sont pas sécurisés... voici les faits.
NOTE : Ce problème n'affecte pas les utilisateurs qui ont créé leur propre phrase de récupération et l'ont importée lors de la configuration du portefeuille. Cela signifie… pic.twitter.com/HqAt1EMcmS
— 💙Grapedrop (@RealGrapedrop) 1 janvier 2025
Un utilisateur de Reddit a noté :
“Je trouve frustrant que Tangem minimise l'ampleur de cet événement. Alors qu'ils prétendent qu'un "très petit groupe d'utilisateurs" a envoyé un email avec leurs clés, combien d'utilisateurs ont eu leurs clés écrites en texte brut sur leurs téléphones dans un fichier journal ?”
Pour l'instant, Tangem n'a pas encore publié de déclaration officielle sur ses plateformes sociales concernant l'incident.
Cependant, ils ont répondu à un commentaire d'un utilisateur sur X (anciennement connu sous le nom de Twitter).
Tangem a identifié et résolu rapidement une vulnérabilité potentielle de sécurité affectant un petit pourcentage d'utilisateurs de portefeuilles. Après une enquête approfondie, nous pouvons confirmer qu'aucune clé privée n'a été compromise, aucun fonds d'utilisateur n'a été perdu et aucun compte n'a été accédé. Le problème était…
— Tangem (@Tangem) 1 janvier 2025
En attendant, la société a exhorté les utilisateurs à mettre à jour leurs applications mobiles vers la dernière version pour garantir une protection contre le risque identifié.
La situation soulève d'importantes questions sur l'équilibre entre la transparence et l'action rapide pour maintenir la confiance dans l'espace crypto.