Il fornitore di portafogli di criptovaluta Tangem ha risolto una vulnerabilità di sicurezza critica sulla sua app mobile che raccoglieva le chiavi private di determinati utenti tramite email.
La correzione è arrivata dopo che gli utenti di Reddit hanno ripetutamente criticato Tangem per aver messo a rischio i fondi degli investitori esponendo le loro chiavi private su account email e ai dipendenti di Tangem.
Il 29 dicembre, una discussione su Reddit sulle operazioni di Tangem ha guadagnato attenzione, accusando il fornitore di portafogli di rubare chiavi private usando email. L'utente di Reddit, u/areklanga, ha ulteriormente accusato Tangem di non fornire “alcuna reazione sensata” quando il problema è stato segnalato in precedenza.
“Quindi, le chiavi private degli utenti rimangono sia nella cronologia delle email degli utenti, nella cronologia delle email di Tangem, e forse in qualche sistema di tracciamento dei ticket di Tangem e sono disponibili per i dipendenti di Tangem. Il che compromette tutti gli utenti di Tangem.”
Hanno anche affermato che il post originale su Reddit che menzionava il bug “è stato eliminato per qualche motivo.”
Tangem ha emesso una correzione tempestiva per il bug
Tangem ha riconosciuto il problema il 30 dicembre e ha dichiarato che l'incidente era dovuto a un bug nel processo di registrazione dei log dell'app mobile, che ora era stato “completamente risolto.” Tangem ha anche fornito una panoramica della situazione:
“Qual era il problema? Quando si creava un portafoglio con una frase seed, la chiave privata veniva erroneamente registrata nei log dell'applicazione. Questi log potevano poi essere accessibili durante le interazioni con il nostro team di supporto.”
Tangem ha ricevuto un nuovo aggiornamento il 30 dicembre. Fonte: Google Play
Il sito ufficiale di Tangem, che registra tutti gli aggiornamenti di versione della sua applicazione mobile, non ha menzionato i dettagli riguardanti l'aggiornamento del 30 dicembre.
Tangem ha anche confermato nella sua risposta su Reddit che “tutti i registri e gli allegati inviati al suo team di supporto sono stati permanentemente eliminati, garantendo che non rimanga alcun dato residuo.”
Tangem accusato di minimizzare la situazione
Secondo l'azienda, il bug che perdeva la frase seed ha colpito un piccolo gruppo di utenti, e vengono contattati proattivamente per cautela e supporto:
“Potrebbe aver colpito un gruppo molto limitato di utenti: specificamente, quelli che hanno utilizzato una frase seed generata, e poi hanno immediatamente inviato una richiesta di supporto tramite l'app. Non colpisce altri utenti.”
Mentre Tangem ha rilasciato un aggiornamento il 30 dicembre per prevenire ulteriori perdite di frasi seed, i membri della comunità crypto hanno criticato la risposta trattenuta del fornitore di portafogli. Tangem non ha risposto alla richiesta di commento di Cointelegraph.
Tangem non ha fatto alcun annuncio ufficiale sui suoi canali social ufficiali, Twitter, Discord o Telegram, al 31 dicembre. Tuttavia, tutti gli utenti di Tangem sono invitati ad aggiornare immediatamente le loro applicazioni mobili per evitare perdite di frasi seed.
Rivista: Story Protocol aiuta i creatori di IP a sopravvivere all'assalto dell'IA… e a essere pagati in crypto