暗号ウォレットプロバイダーであるTangemは、最近、メールのやり取り中にユーザーのプライベートキーを意図せず収集したモバイルアプリにおける重大なセキュリティリスクを特定しました。
この修正は、潜在的なセキュリティリスクについて懸念を表明したメンバーからの繰り返しの警告に続いて行われました。彼らは、Tangemモバイルアプリ内でのメールやり取りを通じてユーザーのプライベートキーが収集されたことを示しました。
Tangemユーザーは重大なセキュリティリスクに直面
12月29日、RedditでTangemのウォレットに潜在的なセキュリティ脆弱性があることが指摘されました。ユーザーは、プライベートキーがメール履歴に保存され、Tangemの従業員にさらされる可能性があることを明らかにしました。
「u/areklanga」として知られるRedditユーザーがフォーラムで脆弱性を暴露し、コミュニティの懸念を引き起こしました。
「ユーザーのプライベートキーは、ユーザーのメール履歴、Tangemのメール履歴、そしておそらくTangemのチケット追跡システムのいずれかに残り、Tangemの従業員がアクセスできる状態です。これにより、すべてのTangemユーザーが危険にさらされています」とそのユーザーは言いました。
ユーザーは、バグを詳細に説明した元のReddit投稿が神秘的に削除されたことに注目し、Tangemの初期対応に疑念を抱きました。これらの懸念が確認されると、ユーザーはメールを通じてTangemの従業員とサポートに殺到しました。
一方、12月30日にTangemは問題を認め、モバイルアプリのログ処理機能内のバグに起因することを説明しました。彼らは、バグを「完全に解決した」と確認する声明を発表しました。
「シードフレーズでウォレットを作成する際、プライベートキーがアプリケーションのログに誤って記録されました。これらのログは、サポートチームとのやり取りの際に後でアクセスできる可能性があります」とTangemはRedditでの声明で述べました。
Tangemは、バグの影響が限られていたことを明らかにしました。それは、シードフレーズを生成し、すぐにサポートリクエストを行ったユーザーにのみ影響しました。また、Tangemはサポートチームが受け取ったすべてのログを削除したと追加しました。
ユーザーはTangemが状況を軽視していると非難
Tangemは脆弱性に迅速に対処しましたが、暗号コミュニティの一部のメンバーは、同社のコミュニケーション戦略に懸念を表明しました。特に、Tangemの公式ソーシャルメディアプラットフォームでの脆弱性に関する公の発表の欠如を批判しました。
「Tangemがこの出来事の範囲を軽視しているのがイライラします。彼らは「非常に少数のユーザー」だけが自分のキーを含むメールを送信したと主張していますが、何人のユーザーがログファイルに平文でキーを書き込んだのでしょうか?」とあるRedditユーザーが言いました。
12月31日の発表時点で、Tangemはそのソーシャルメディアチャンネルでセキュリティリスクに関する公式発表をまだ行っていませんでした。
Tangemはすべてのユーザーに、脆弱性に関連する潜在的なリスクを軽減するために、モバイルアプリケーションを最新のバージョンに即座に更新するように勧告しました。