Coinbase раскрыла ошибку в пароле, затронувшую 3500 клиентов

Криптo биржа Coinbase раскрыла потенциальную уязвимость в пятницу, заявив, что небольшая часть паролей ее клиентов хранилась в открытом виде во внутреннем журнале сервера. Однако эта информация не была несанкционированно получена внешними лицами, заявила биржа.

Впосмертно Coinbase поделилась с CoinDesk информацией о «проблеме хранения паролей», затронувшей менее 3500 клиентов (из более чем 30 миллионов по всему миру) и в результате которой личная информация, включая пароли, на короткое время хранилась в открытом тексте во внутренних системах регистрации.

«При очень специфической и RARE ошибке регистрационная форма на нашей странице регистрации T загружалась правильно, что означало, что любая попытка создать новую учетную запись Coinbase в таких условиях будет неудачной», — пояснялось в сообщении. «К сожалению, это также означало, что имя человека, адрес электронной почты и предлагаемый пароль (и штат проживания, если он находится в США) будут отправлены в наши внутренние журналы».

В 3420 случаях потенциальные клиенты использовали тот же пароль при второй попытке регистрации, что было бы успешным, но привело бы к тому, что их пароль совпадал бы с хешированной версией в журналах компании. Эти клиенты были уведомлены Coinbase по электронной почте в пятницу.

Ошибка произошла из-за использования Coinbase серверного рендеринга React.js на странице регистрации. По сути, когда пользователь посещает страницу, чтобы зарегистрироваться для получения учетной записи, React помогает отобразить форму, которую необходимо заполнить.

«Любой пользователь, пытающийся зарегистрироваться, должен иметь включенный JavaScript, и этот JavaScript должен загружаться правильно», — поясняется в сообщении, и добавляется:

«Практически во всех случаях оба эти утверждения верны, и React обрабатывает проверку форм и отправку на сервер. Однако, если у пользователя отключен JavaScript или его браузер получает ошибку React.js при загрузке, имеется достаточно предварительно отрендеренного HTML, который пользователь может заполнить и попытаться отправить нашу регистрационную форму».

Поскольку HTML-форма «была крайне простой», атрибуты «action» или «method» не были установлены. Из-за поведения по умолчанию это привело к тому, что некоторые браузеры по умолчанию использовали «GET», что кодировало переменные формы как часть данных журнала.

Биржа исправила проблему, изменив метод формы по умолчанию на «POST», чтобы гарантировать, что данные больше не будут регистрироваться.

Хотя Coinbase искала другие формы «с таким же проблемным поведением», биржа не нашла ни одной.

«Мы также находимся в процессе внедрения дополнительных механизмов для обнаружения и предотвращения непреднамеренного появления подобного рода ошибок в будущем», — заявили в компании.запись в блоге сказал.

В ответ на Истории Coinbase заявила, что отслеживает различные места, где могут храниться журналы, включая систему, размещенную на Amazon Web Services, и некоторых «поставщиков услуг анализа журналов».

«Тщательная проверка доступа к этим системам регистрации не выявила несанкционированного доступа к этим данным», — говорится в сообщении, а также добавляется, что доступ к каждой из систем «жестко ограничен и проверяется».

Coinbase заявила, что также инициировала сброс пароля для всех лиц, чьи учетные записи были затронуты. (В сообщении в блоге добавлено, что для входа пользователей в учетные записи требуется двухфакторная аутентификация поверх пароля.)

«Хотя мы уверены, что устранили основную причину и что зарегистрированная информация не была несанкционированно получена, использована не по назначению или скомпрометирована, мы требуем от этих клиентов сменить свои пароли в качестве меры предосторожности», — поясняется в сообщении.

«Напоминаем, что Coinbase также поддерживает активнуюПрограмма вознаграждения за найденные ошибки на HackerOne, которая выплатила более четверти миллиона долларов на сегодняшний день. Хотя эта конкретная ошибка была обнаружена внутри компании, мы приветствуем исследователей безопасности, которые могут отправлять отчеты в любое время, когда они считают, что они могли обнаружить уязвимость в ONE из наших систем», — заключила биржа.

Раскрытие информации Coinbase последовало за Binance и Huobi, пострадавшими от реальных утечек данных. В отличие от Coinbase, Binance и Huobi, похоже, утратили контроль над данными клиентов know-your-customer, включая документы проверки личности.

Изображение Брайана Армстронга из архивов CoinDesk