Coinbase revela falha de senha que afeta 3.500 clientes

A exchange de Cripto Coinbase divulgou uma vulnerabilidade potencial na sexta-feira, anunciando que uma pequena fração das senhas de seus clientes foi armazenada em texto simples em um log de servidor interno. No entanto, as informações não foram acessadas indevidamente por terceiros, disse a exchange.

Em umpost-mortem compartilhado com o CoinDesk, a Coinbase descreveu "um problema de armazenamento de senhas", afetando menos de 3.500 clientes (de mais de 30 milhões no mundo todo) que resultou brevemente em informações pessoais, incluindo senhas, sendo armazenadas em texto simples em sistemas de registro internos.

"Sob uma condição de erro muito específica e RARE , o formulário de registro em nossa página de inscrição T carregava corretamente, o que significava que qualquer tentativa de criar uma nova conta Coinbase sob essas condições falharia", explicou a publicação. "Infelizmente, isso também significava que o nome do indivíduo, endereço de e-mail e senha proposta (e estado de residência, se nos EUA) seriam enviados para nossos registros internos."

Em 3.420 casos, os clientes em potencial usaram a mesma senha na segunda tentativa de inscrição, o que seria bem-sucedido, mas resultaria em uma senha que corresponde à versão com hash nos logs da empresa. Esses clientes foram notificados pela Coinbase por e-mail na sexta-feira.

O bug ocorreu devido ao uso da renderização do lado do servidor React.js pela Coinbase na página de inscrição. Basicamente, quando um usuário visita a página para se inscrever em uma conta, o React ajuda a exibir o formulário que precisa ser preenchido.

"Qualquer usuário que tente se registrar precisa ter o JavaScript habilitado e que o JavaScript seja carregado corretamente", explicou a postagem, acrescentando:

"Em praticamente todas as circunstâncias, ambas as coisas são verdadeiras, e o React lida com a validação do formulário e o envio ao servidor. No entanto, se um usuário tivesse o JavaScript desabilitado ou seu navegador recebesse um erro React.js ao carregar, havia HTML pré-renderizado suficiente para que um usuário pudesse preencher e tentar enviar nosso formulário de registro."

Como o formulário HTML "era extremamente básico", nenhum atributo "action" ou "method" foi definido. Devido a comportamentos padrão, isso resultou em alguns navegadores padronizando para "GET", que codificava variáveis de formulário como parte dos dados de log.

A exchange corrigiu o problema alterando o método de formulário padrão para "POST", para garantir que os dados não sejam mais registrados.

Enquanto a Coinbase procurava outros formulários "com esse comportamento problemático", a exchange não identificou nenhum.

“Também estamos no processo de implementação de mecanismos adicionais para detectar e prevenir a introdução inadvertida deste tipo de bug no futuro”, disse opostagem de blog disse.

Em resposta à Confira, a Coinbase disse que rastreou os vários locais onde os logs podem estar armazenados, o que incluía um sistema hospedado na Amazon Web Services e alguns "provedores de serviços de análise de logs".

"Uma revisão completa do acesso a esses sistemas de registro não revelou nenhum acesso não autorizado a esses dados", disse a publicação, acrescentando que o acesso a cada um dos sistemas é "rigorosamente restrito e auditado".

A Coinbase disse que também acionou redefinições de senha para qualquer indivíduo cuja conta foi impactada. (A postagem do blog acrescentou que exige autenticação de dois fatores além de uma senha para que os usuários façam login nas contas.)

"Embora estejamos confiantes de que corrigimos a causa raiz e que as informações registradas não foram acessadas indevidamente, mal utilizadas ou comprometidas, estamos solicitando que esses clientes alterem suas senhas como precaução de prática recomendada", explicou a postagem.

"Como um lembrete, a Coinbase também mantém uma conta ativaprograma de recompensa por bugs no HackerOne, que pagou mais de um quarto de milhão de dólares até o momento. Embora esse bug em particular tenha sido descoberto internamente, damos boas-vindas aos pesquisadores de segurança para enviar relatórios sempre que acreditarem que podem ter descoberto uma falha em um de nossos sistemas", concluiu a bolsa.

A Aviso Importante da Coinbase vem na esteira de Binance e Huobi sofrendo com violações de dados reais. Ao contrário da Coinbase, Binance e Huobi parecem ter perdido o controle dos dados de know-your-customer do cliente, incluindo documentos de verificação de identidade.

Imagem de Brian Armstrong via arquivos CoinDesk