Поставщик криптовалютных кошельков Tangem исправил критическую уязвимость безопасности в своем мобильном приложении, которое собирало приватные ключи определенных пользователей через электронные письма.

Исправление было сделано после того, как пользователи Reddit неоднократно указывали на то, что Tangem подвергает риску средства инвесторов, раскрывая их приватные ключи в учетных записях электронной почты и сотрудникам Tangem.

29 декабря обсуждение операций Tangem на Reddit получило популярность, в котором обвиняли поставщика кошельков в краже приватных ключей с помощью электронной почты. Пользователь Reddit, u/areklanga, также обвинил Tangem в том, что тот не предоставил «никакой разумной реакции», когда проблема была ранее указана.

«Таким образом, приватные ключи пользователей остаются как в истории электронной почты пользователей, так и в истории электронной почты Tangem, а также, возможно, в какой-то системе отслеживания билетов Tangem и доступны сотрудникам Tangem. Это делает всех пользователей Tangem скомпрометированными.»

Они также утверждали, что оригинальный пост на Reddit, упоминающий сбой, «был удален по какой-то причине».

Tangem выпустил своевременное исправление ошибок

Tangem признал проблему 30 декабря и заявил, что инцидент произошел из-за ошибки в обработке логов мобильного приложения, которая теперь была «полностью решена». Tangem также предоставил разбивку ситуации:

«В чем была проблема? При создании кошелька с семенной фразой приватный ключ ошибочно регистрировался в логах приложения. Эти логи могли быть позже доступны во время взаимодействия с нашей службой поддержки.»

Tangem получил новое обновление 30 декабря. Источник: Google Play

Официальный сайт Tangem, который регистрирует все обновления версий его мобильного приложения, не упоминал детали обновления от 30 декабря.

Tangem также подтвердил в своем ответе на Reddit, что «все логи и вложения, отправленные в его службу поддержки, были навсегда удалены, что гарантирует отсутствие остаточных данных.»

Tangem обвиняют в преуменьшении ситуации

Согласно компании, ошибка утечки семенной фразы затронула небольшую группу пользователей, с которыми они proactively связываются для осторожности и поддержки:

«Это могло затронуть очень ограниченную группу пользователей: в частности, тех, кто использовал сгенерированную семенную фразу, а затем немедленно подал запрос в службу поддержки через приложение. Это не затрагивает других пользователей.»

Хотя Tangem выпустил обновление 30 декабря, чтобы предотвратить дальнейшие утечки семенных фраз, члены криптосообщества раскритиковали сдержанную реакцию поставщика кошельков. Tangem не ответил на запрос Cointelegraph о комментариях.

На 31 декабря Tangem не сделал никаких официальных заявлений на своих официальных каналах в социальных сетях, таких как Twitter, Discord или Telegram. Тем не менее, всем пользователям Tangem рекомендуется немедленно обновить свои мобильные приложения, чтобы избежать утечек семенных фраз.


Журнал: Протокол Story помогает создателям ИП выжить в условиях атаки ИИ… и получать оплату в криптовалюте