Coinbase nega le segnalazioni di violazione dei dati, affronta i problemi di sicurezza

Il fornitore di portafogli Bitcoin con sede a San Francisco, Coinbase, ha risposto formalmente alle preoccupazioni della comunità in merito a una funzione di progettazione del suo servizio "Request Money" il 1° aprile, in seguito ad alcune segnalazioni che suggerivano che tale servizio potrebbe essere utilizzato in modo improprio da phisher e truffatori.

La risposta è stata rilasciata dopo che è emersa una voce di Pastebin che suggeriva che circa 2.000Nomi e indirizzi email dei clienti Coinbasesono stati compromessi nell'ambito di una "violazione dei dati" del sito, voci che hanno suscitato diffuse speculazioni su Reddit e sui social media.

Parlando con CoinDesk, la società ha chiarito che, sebbene alcune informazioni personali degli utenti siano state pubblicate online, l'evento non è stato una violazione dei dati, ma piuttosto uno sfruttamento di una funzionalità comune ai servizi tecnologici più diffusi. Gli utenti malintenzionati, ha osservato, possono utilizzare un indirizzo e-mail per determinare se qualcuno ha un account su altri servizi di pagamento come PayPal, Square Cash e Venmo, un processo chiamato enumerazione e-mail.

Ha scritto l'aziendanella sua risposta ufficiale:

"Sebbene riteniamo che questo tipo di attività di spam e di enumerazione degli utenti T rappresenti un rischio significativo per i clienti di Coinbase, siamo pienamente consapevoli che può rappresentare un inconveniente e causare confusione".

La funzionalità Request Money di Coinbase consente agli utenti di Request fondi inserendo un indirizzo e-mail. Se il destinatario è un utente Coinbase, il sito Web genera un'e-mail di risposta completa di nome e cognome dell'individuo, a condizione che abbia utilizzato il suo vero nome per registrarsi al servizio.

Coinbase non richiede ai propri utenti di fornire nomi reali e indica nella sua Politiche Privacy che rende tali informazioni disponibili.

Tuttavia, almeno ONE responsabile della sicurezza ha espresso preoccupazione per il fatto che tali informazioni potrebbero essere utilizzate da malintenzionati per commettere frodi più gravi.

Origine della controversia

Questa funzionalità è stata portata alla luce nella comunità Bitcoin dal ricercatore di sicurezza australiano Shubham Shah, che ha pubblicato le sue frustrazionisul suo blog. Quel post descriveva in dettaglio un processo passo dopo passo su come condurre l'enumerazione delle email usando Coinbase, e si scagliava contro l'azienda per non aver preso misure per rispondere alle sue preoccupazioni.

Coinbase ha esaminato il "difetto di progettazione" come presentato da Shah, ma lo ha informato che non avrebbe cercato di implementare una correzione o di emettere una ricompensa per la scoperta. Pertanto, ha deciso di pubblicare la richiesta sul suo blog.

Secondo una cronologia pubblicata da Shah, lo sviluppatore ha contattato Coinbase per la prima volta il 28 febbraio. La comunicazione faceva parte di una serie di corrispondenze che si sono concluse il 31 marzo, quando Shah indica che Coinbase ha confermato di aver chiuso il suo bug report.

Parlando con CoinDesk, Shah ha dichiarato che, in quanto ricercatore di sicurezza, sentiva la responsabilità di portare il problema alla comunità in modo che potesse essere affrontato. Inoltre, ha affermato di non essere affiliato alla successiva pubblicazione di PasteBin di nomi e indirizzi e-mail dei clienti.

La risposta di Coinbase

Il post del blog di Coinbase ha spiegato che, nonostante le affermazioni che circolano online, la funzionalità di progettazione era intenzionale e mirava ad aumentare l'usabilità del suo servizio. Inoltre, ha affermato che non implementare un limite al numero di e-mail che possono essere generate tramite il suo servizio serve a un caso d'uso specifico.

Coinbase ha affermato:

"Consentire la fatturazione degli elenchi è una funzionalità CORE del nostro servizio, ed è stata volutamente integrata nella nostra API."

In un messaggio datato 31 marzo, un rappresentante di Coinbase ha offerto la valutazione interna dell'azienda a Shah tramiteHacker Uno, un'organizzazione online di esperti di sicurezza che coordina le ricompense per gli hacker che contribuiscono a rendere Internet più sicuro.

"Non consideriamo i bug di esistenza dell'account come abbastanza gravi per il nostro ambito. Questo comportamento è per lo più informativo per un aggressore e non aumenta direttamente il rischio in modo significativo. Potremmo prendere in considerazione l'aggiornamento di questo comportamento in futuro, ma non riteniamo che giustifichi una ricompensa."

Il rappresentante ha spiegato che consentire la fatturazione degli elenchi era un aspetto fondamentale del suo servizio e che "non sarebbe stato più efficace dei metodi di phishing più tradizionali, alla cui prevenzione dedichiamo molto tempo".

Attacchi improbabili

Nel suo post sul blog, Coinbase ha indicato che solo una piccolissima quantità di utenti, meno dello 0,5%, è stata nominata nel post sui dati utente di oggi. Inoltre, ha continuato a descrivere perché ritiene che tali attacchi siano incredibilmente improbabili.

Coinbase ha affermato: "È probabile che questa lista di email provenga da altri siti, probabilmente correlati a Bitcoin".

L'azienda ha affermato che gli utenti malintenzionati dovranno prima acquisire indirizzi email, che T sono disponibili pubblicamente online, e poi inviare denaro ai destinatari che, a loro volta, dovranno scegliere di inviare denaro a utenti sconosciuti.

Shah ha affermato che il difetto di progettazione è importante a causa della natura stessa della progettazione di Bitcoin.

"Non hai a che fare con un account normale. Hai a che fare con un account che contiene valuta digitale, il che è irreversibile. È un po' più serio."

Coinbase ha riconosciuto questa preoccupazione, pur affermando di ritenere che rappresenti un basso rischio di frode e che sia più pericoloso per gli utenti in quanto problema di spam.

Coinbase ha dichiarato nel suo post sul blog di prendere sul serio il problema dello spamming, sottolineando che applica limiti di frequenza ad azioni sensibili come la richiesta di denaro, in modo che T vengano ampiamente abusate.