Ризики безпеки турбують користувачів Tangem
Провайдер криптогаманців Tangem нещодавно вирішив критичну проблему безпеки у своєму мобільному додатку, яка ненавмисно відкрила приватні ключі користувачів під час електронних листів з підтримкою клієнтів.
Вразливість, вперше висвітлена в дописі на Reddit користувача "u/areklanga" 29 грудня, показала, що приватні ключі зберігалися в історії електронної пошти, потенційно доступні співробітникам Tangem.
Користувач заявив:
“Отже, приватні ключі користувачів залишаються в історії електронної пошти користувача, історії електронної пошти Tangem, а можливо, в деякій системі відстеження квитків Tangem і доступні співробітникам Tangem. Це ставить під загрозу всіх користувачів Tangem.”
Після інтенсивного контролю з боку спільноти, Tangem визнав проблему 30 грудня, віднісши її до помилки у функції обробки журналів додатку.
Компанія запевнила користувачів, що помилка була "повністю усунена" і підкреслила її обмежений обсяг, що вплинув лише на тих, хто згенерував фразу для відновлення та відразу звернувся до підтримки.
Tangem заявив у заяві на Reddit:
“При створенні гаманця з фразою для відновлення, приватний ключ помилково був зафіксований у журналах програми. Ці журнали могли пізніше бути доступні під час взаємодії з нашою командою підтримки.”
Tangem також підтвердив, що всі постраждалі журнали були видалені.
Хоча швидке вирішення пропонує певну впевненість, інцидент викликав ширші занепокоєння щодо практики безпеки та прозорості в просторі криптогаманців, ставлячи Tangem перед викликом відновити довіру серед своїх користувачів.
Tangem применшує ситуацію за словами користувачів
Незважаючи на швидкі дії Tangem для усунення вразливості безпеки, в криптоспільноті виникли занепокоєння щодо підходу компанії до комунікації.
Критики вказали на відсутність публічних оголошень на офіційних соціальних медіа-каналах Tangem, залишивши багатьох користувачів в невіданні про проблему.
ТРЕВОГА: Була тривога безпеки щодо гаманця Tangem, але перш ніж люди втратять розум і скажуть, що гаманці Tangem не є безпечними... це факти.
ЗАУВАЖЕННЯ: Ця проблема не вплине на користувачів, які створили свою власну фразу для відновлення та імпортували її під час налаштування гаманця. Це означає… pic.twitter.com/HqAt1EMcmS
— 💙Grapedrop (@RealGrapedrop) 1 січня 2025
Один користувач Reddit зазначив:
“Мене дратує, як Tangem зменшує масштаби цієї події. Хоча вони стверджують, що лише "дуже маленька група користувачів" надіслала електронний лист зі своїми ключами, скільки користувачів мали свої ключі записані у простому тексті на своїх телефонах у файлі журналу?”
На даний момент Tangem ще не опублікував офіційної заяви на своїх соціальних платформах щодо інциденту.
Однак вони відповіли на коментар користувача в X (раніше відомому як Twitter).
Tangem виявив і швидко усунув потенційну вразливість безпеки, що вплинула на невелику частку користувачів гаманців. Після ретельного розслідування ми можемо підтвердити, що жоден із приватних ключів не був скомпрометований, жодні кошти користувачів не були втрачені, і жодні облікові записи не були доступні. Проблема була…
— Tangem (@Tangem) 1 січня 2025
Тим часом компанія закликала користувачів оновити свої мобільні додатки до останньої версії, щоб забезпечити захист від виявленого ризику.
Ситуація ставить важливі питання про баланс між прозорістю та своєчасними діями для підтримки довіри в криптопросторі.