Coinbase révèle un problème de mot de passe affectant 3 500 clients

La plateforme d'échange de Crypto Coinbase a révélé vendredi une vulnérabilité potentielle, annonçant qu'une infime partie des mots de passe de ses clients étaient stockés en clair dans un journal de serveur interne. Cependant, ces informations n'ont pas été consultées de manière abusive par des tiers, a indiqué la plateforme.

Dans unautopsie Partagé avec CoinDesk, Coinbase a décrit « un problème de stockage de mots de passe », affectant moins de 3 500 clients (sur plus de 30 millions dans le monde) qui a brièvement entraîné le stockage d'informations personnelles, y compris les mots de passe, en texte clair sur des systèmes de journalisation internes.

« Dans une situation d'erreur très spécifique et RARE , le formulaire d'inscription sur notre page d'inscription ne se chargeait T correctement, ce qui signifiait que toute tentative de création d'un compte Coinbase dans ces conditions échouerait », expliquait le message. « Malheureusement, cela signifiait également que le nom, l'adresse e-mail et le mot de passe proposé (ainsi que l'État de résidence, si le participant était aux États-Unis) seraient transmis à nos journaux internes. »

Dans 3 420 cas, les clients potentiels ont utilisé le même mot de passe lors de leur deuxième tentative d'inscription, laquelle aurait été réussie, mais aurait donné lieu à un mot de passe correspondant à la version hachée figurant dans les journaux de l'entreprise. Ces clients ont été informés par Coinbase par e-mail vendredi.

Le bug est dû à l'utilisation par Coinbase du rendu côté serveur React.js sur la page d'inscription. En effet, lorsqu'un utilisateur visite la page pour créer un compte, React affiche le formulaire à remplir.

« Tout utilisateur tentant de s'inscrire doit avoir JavaScript activé et doit faire en sorte que ce JavaScript se charge correctement », explique le message, ajoutant :

Dans la quasi-totalité des cas, ces deux affirmations sont vraies, et React gère la validation et la soumission des formulaires au serveur. Cependant, si JavaScript était désactivé ou si le navigateur recevait une erreur React.js lors du chargement, le code HTML pré-rendu était suffisant pour permettre à l'utilisateur de remplir et de soumettre notre formulaire d'inscription.

Le formulaire HTML étant extrêmement basique, aucun attribut « action » ou « méthode » n'a été défini. En raison des comportements par défaut, certains navigateurs ont opté pour « GET », ce qui a encodé les variables du formulaire dans les données du journal.

L'échange a résolu le problème en changeant la méthode de formulaire par défaut sur « POST », pour garantir que les données ne sont plus enregistrées.

Alors que Coinbase recherchait d'autres formes « avec ce comportement problématique », l'échange n'en a identifié aucune.

« Nous sommes également en train de mettre en œuvre des mécanismes supplémentaires pour détecter et empêcher l'introduction accidentelle de ce type de bug à l'avenir », a déclaré learticle de blog dit.

En réponse à cette À découvrir, Coinbase a déclaré avoir suivi les différents emplacements où les journaux pourraient être stockés, notamment un système hébergé sur Amazon Web Services et certains « fournisseurs de services d'analyse de journaux ».

« Un examen approfondi de l'accès à ces systèmes de journalisation n'a révélé aucun accès non autorisé à ces données », indique le message, ajoutant que l'accès à chacun des systèmes est « étroitement restreint et audité ».

Coinbase a également déclaré avoir déclenché la réinitialisation des mots de passe pour toute personne dont le compte a été impacté. (Le billet de blog précise qu'une authentification à deux facteurs, en plus d'un mot de passe, est requise pour que les utilisateurs puissent se connecter à leur compte.)

« Bien que nous soyons convaincus d'avoir résolu la cause profonde et que les informations enregistrées n'ont pas été consultées de manière inappropriée, utilisées à mauvais escient ou compromises, nous demandons à ces clients de modifier leurs mots de passe par mesure de précaution », explique le message.

"Pour rappel, Coinbase maintient également unprogramme de primes aux bugs sur HackerOne, qui a versé plus d'un quart de million de dollars à ce jour. Bien que ce bug ait été découvert en interne, nous invitons les chercheurs en sécurité à nous signaler toute faille qu'ils estiment avoir découverte dans ONEun de nos systèmes », conclut la plateforme.

La Déclaration de transparence de Coinbase intervient alors que Binance et Huobi ont été victimes de violations de données. Contrairement à Coinbase, Binance et Huobi semblent avoir perdu le contrôle des données clients, notamment des documents de vérification d'identité.

Image de Brian Armstrong via les archives CoinDesk