Tangem, penyedia dompet kripto, baru-baru ini mengidentifikasi risiko keamanan yang signifikan dalam aplikasi mobile-nya yang secara tidak sengaja mengumpulkan kunci pribadi pengguna selama interaksi email.
Perbaikan ini mengikuti peringatan berulang dari anggota yang mengungkapkan kekhawatiran tentang potensi risiko keamanan. Mereka menunjukkan bahwa kunci pribadi pengguna dikumpulkan melalui interaksi email dalam aplikasi mobile Tangem.
Pengguna Tangem Menghadapi Risiko Keamanan yang Kritis
Pada 29 Desember, sebuah diskusi di Reddit menyoroti potensi kerentanan keamanan dalam dompet Tangem. Pengguna mengungkapkan bahwa kunci pribadi disimpan dalam riwayat email, yang berpotensi mengeksposnya kepada karyawan Tangem.
Seorang pengguna Reddit yang dikenal sebagai "u/areklanga" mengungkapkan kerentanan dalam sebuah forum, memicu kekhawatiran komunitas.
"Jadi, kunci pribadi pengguna tetap berada dalam riwayat email pengguna, riwayat email Tangem, dan mungkin dalam beberapa sistem pelacakan tiket Tangem dan tersedia untuk karyawan Tangem. Yang membuat semua pengguna Tangem terkompromi," kata pengguna tersebut.
Pengguna juga mencatat bahwa postingan Reddit asli yang merinci kesalahan tersebut secara misterius dihapus, menimbulkan kecurigaan tentang respons awal Tangem. Begitu kekhawatiran ini dikonfirmasi, pengguna membanjiri karyawan dan dukungan Tangem melalui email.
Sementara itu, pada 30 Desember, Tangem mengakui masalah tersebut dan mengaitkannya dengan bug dalam fungsi pemrosesan log aplikasi mobile. Mereka mengeluarkan pernyataan yang mengonfirmasi bahwa mereka "telah sepenuhnya menyelesaikan" bug tersebut.
"Saat membuat dompet dengan frasa seed, kunci pribadi secara keliru dicatat dalam log aplikasi. Log ini kemudian dapat diakses selama interaksi dengan tim dukungan kami," kata Tangem dalam sebuah pernyataan di Reddit.
Tangem menjelaskan bahwa bug tersebut memiliki dampak terbatas. Itu hanya memengaruhi pengguna yang menghasilkan frasa seed dan segera membuat permintaan dukungan. Tangem menambahkan bahwa mereka menghapus semua log yang diterima oleh tim dukungan.
Pengguna Menuduh Tangem Meremehkan Situasi
Sementara Tangem segera menangani kerentanan tersebut, beberapa anggota komunitas kripto mengungkapkan kekhawatiran tentang strategi komunikasi perusahaan. Secara khusus, mereka mengkritik kurangnya pengumuman publik mengenai kerentanan di platform media sosial resmi Tangem.
"Saya merasa frustrasi bagaimana Tangem meremehkan cakupan peristiwa ini. Sementara mereka mengklaim bahwa hanya "sekelompok kecil pengguna" yang mengirim email dengan kunci mereka, berapa banyak pengguna yang memiliki kunci mereka tertulis dalam teks biasa di ponsel mereka dalam file log?" kata seorang pengguna Reddit.
Pada saat publikasi pada 31 Desember, Tangem belum membuat pengumuman resmi mengenai risiko keamanan di saluran media sosialnya.
Tangem menyarankan semua pengguna untuk segera memperbarui aplikasi mobile mereka ke versi terbaru untuk mengurangi risiko potensial yang terkait dengan kerentanan.