Tangem, un fornitore di wallet crypto, ha recentemente identificato un significativo rischio di sicurezza nella sua app mobile che ha raccolto involontariamente le chiavi private degli utenti durante le interazioni email.
Questa correzione è seguita a ripetuti avvertimenti da parte di membri che hanno espresso preoccupazioni sui potenziali rischi per la sicurezza. Hanno indicato che le chiavi private degli utenti sono state raccolte tramite interazioni email all'interno dell'app mobile di Tangem.
Gli utenti di Tangem affrontano rischi critici per la sicurezza
Il 29 dicembre, una discussione su Reddit ha evidenziato una potenziale vulnerabilità di sicurezza nel wallet di Tangem. Gli utenti hanno rivelato che le chiavi private venivano memorizzate negli storici email, esponendole potenzialmente ai dipendenti di Tangem.
Un utente di Reddit conosciuto come “u/areklanga” ha esposto la vulnerabilità in un forum, suscitando preoccupazione nella comunità.
“Quindi, le chiavi private degli utenti rimangono sia nella cronologia email degli utenti, sia nella cronologia email di Tangem, e forse in qualche sistema di tracciamento dei ticket di Tangem e sono disponibili per i dipendenti di Tangem. Ciò rende tutti gli utenti di Tangem compromessi,” ha detto l'utente.
Gli utenti hanno anche notato che il post originale su Reddit che descriveva il glitch è stato misteriosamente eliminato, sollevando sospetti sulla risposta iniziale di Tangem. Non appena queste preoccupazioni sono state convalidate, gli utenti hanno inondato i dipendenti e il supporto di Tangem via email.
Nel frattempo, il 30 dicembre, Tangem ha riconosciuto il problema e l'ha attribuito a un bug all'interno della funzione di elaborazione dei log dell'app mobile. Hanno emesso una dichiarazione confermando che hanno "completamente risolto" il bug.
“Quando si crea un wallet con una frase seed, la chiave privata è stata erroneamente registrata nei log dell'applicazione. Questi log potrebbero successivamente essere stati accessibili durante le interazioni con il nostro team di supporto,” ha dichiarato Tangem in una nota su Reddit.
Tangem ha chiarito che il bug ha avuto un impatto limitato. Ha colpito solo gli utenti che hanno generato una frase seed e hanno immediatamente fatto una richiesta di supporto. Ha aggiunto che Tangem ha eliminato tutti i log ricevuti dal team di supporto.
Gli utenti accusano Tangem di minimizzare la situazione
Mentre Tangem ha affrontato prontamente la vulnerabilità, alcuni membri della comunità crypto hanno espresso preoccupazioni sulla strategia di comunicazione dell'azienda. In particolare, hanno criticato la mancanza di annunci pubblici riguardo la vulnerabilità sulle piattaforme ufficiali di social media di Tangem.
“Trovo frustrante come Tangem stia minimizzando l'entità di questo evento. Mentre affermano che solo un “piccolissimo gruppo di utenti” ha inviato un'email con le proprie chiavi, quanti utenti avevano le proprie chiavi scritte in chiaro nei loro telefoni in un file di log?” ha detto un utente di Reddit.
Al momento della pubblicazione il 31 dicembre, Tangem non aveva ancora fatto alcun annuncio ufficiale riguardo al rischio di sicurezza sui propri canali social media.
Tangem ha consigliato a tutti gli utenti di aggiornare immediatamente le proprie applicazioni mobili all'ultima versione per mitigare i potenziali rischi associati alla vulnerabilità.