Coinbase спростовує повідомлення про витік даних і вирішує питання безпеки

Постачальник Bitcoin -гаманців Coinbase, що базується в Сан-Франциско, 1 квітня офіційно відповів на занепокоєння спільноти, пов’язані з функцією дизайну його сервісу «Request Money», на тлі повідомлень про те, що цей сервіс може бути використаний фішерами та шахраями.

Відповідь надійшла після того, як у Pastebin з’явився запис про те, що приблизно 2000 Імена та електронні адреси клієнтів Coinbase були скомпрометовані в рамках «витоку даних» сайту, чутки, які викликали широкі спекуляції на Reddit і соціальних мережах.

У розмові з CoinDesk компанія пояснила, що, хоча певна особиста інформація користувачів була опублікована в Інтернеті, подія не була витоком даних, а скоріше використанням функції, загальної для популярних технічних сервісів. Зазначається, що зловмисники можуть використовувати адресу електронної пошти, щоб визначити, чи є у когось обліковий запис в інших платіжних службах, таких як PayPal, Square Cash і Venmo. Цей процес називається нумерацією електронної пошти.

Написала компанія у своїй офіційній відповіді:

«Хоча ми вважаємо, що цей тип спаму та діяльності з перерахуванням користувачів T становить значного ризику для клієнтів Coinbase, ми абсолютно розуміємо, що це може бути незручністю та викликати плутанину».

Функція Request Money Coinbase дозволяє користувачам Request кошти, ввівши адресу електронної пошти. Якщо одержувач є користувачем Coinbase, веб-сайт генерує зворотний електронний лист із зазначенням імені та прізвища особи, якщо вони використали своє справжнє ім’я для реєстрації в сервісі.

Coinbase не вимагає від своїх користувачів вказувати справжні імена та вказує у своїй Політика Політика конфіденційності , що робить таку інформацію доступною.

Однак принаймні ONE представник служби безпеки висловив занепокоєння, що така інформація може бути використана зловмисниками для вчинення більшого шахрайства.

Походження спору

Ця функція була відкрита для Bitcoin спільноти австралійським дослідником безпеки Шубамом Шахом, який опублікував своє розчарування на своєму блозі. У цій публікації детально описано покроковий процес того, як проводити нумерацію електронної пошти за допомогою Coinbase, і критикувалась компанія за те, що вона не вжила заходів для вирішення його проблем.

Coinbase розглянула «недолік дизайну», представлений Шахом, але повідомила йому, що не збиратиметься впроваджувати виправлення або видавати винагороду за відкриття. Тому він вирішив опублікувати заяву у своєму блозі.

Відповідно до хронології, опублікованої Шахом, розробник вперше зв’язався з Coinbase 28 лютого. Повідомлення було частиною серії листувань, яка завершилася 31 березня, коли Шах вказав, що Coinbase підтвердила, що закрила його звіт про помилку.

У розмові з CoinDesk Шах зазначив, що як дослідник безпеки він відчуває відповідальність донести проблему до спільноти, щоб її можна було вирішити. Крім того, він стверджував, що не причетний до подальшої публікації імен клієнтів і адрес електронної пошти в PasteBin.

Відповідь Coinbase

У дописі в блозі Coinbase пояснюється, що, незважаючи на твердження, що поширюються в Інтернеті, функція дизайну була навмисною та мала на меті підвищити зручність використання її сервісу. Крім того, він заявив, що відсутність обмеження на кількість електронних листів, які можуть бути згенеровані через його сервіс, служить для конкретного випадку використання.

Coinbase сказав:

«Дозвіл виставляти рахунки за списки є CORE функціональністю нашої служби, і цю функцію навмисно вбудовано в наш API».

У повідомленні від 31 березня представник Coinbase запропонував Шаху внутрішню оцінку компанії через HackerOne, онлайн-організація експертів з безпеки, яка координує винагороди для хакерів, які сприяють безпечнішому Інтернету.

«Ми не вважаємо помилки існування облікового запису достатньо серйозними для нашого діапазону. Така поведінка здебільшого є інформаційною для зловмисників і безпосередньо не збільшує ризик будь-яким суттєвим чином. Ми можемо розглянути можливість оновлення цієї поведінки в майбутньому, але не вважаємо, що вона вимагає винагороди».

Представник уточнив, що дозвіл виставляти рахунки за списки є ключовим аспектом його послуг і що це «не буде ефективнішим, ніж більш традиційні методи фішингу, на запобігання яким ми витрачаємо значну кількість часу».

Малоймовірні напади

У своєму блозі Coinbase вказала, що лише дуже невелика кількість користувачів – менше 0,5% – була названа в сьогоднішній публікації даних користувачів. Крім того, далі було описано, чому вони вважають такі атаки неймовірно малоймовірними.

Coinbase сказав: «Цей список електронних листів, ймовірно, був отриманий з інших сайтів – ймовірно, пов’язаних з біткойнами».

Компанія заявила, що зловмисникам потрібно буде спочатку отримати адреси електронної пошти, які T є загальнодоступними в Інтернеті, а потім надіслати гроші одержувачам, які, у свою чергу, повинні будуть відправити гроші невідомим користувачам.

Шах зазначив, що недолік дизайну важливий через природу дизайну біткойна.

«Ви маєте справу не зі звичайним обліковим записом. Ви маєте справу з обліковим записом, який містить цифрову валюту, яка є незворотною. Це трохи серйозніше».

Coinbase визнала це занепокоєння, хоча й заявила, що вважає, що ризик шахрайства є низьким і є більш загрозливим для користувачів як спам.

Coinbase вказав у своєму блозі, що серйозно ставиться до проблеми розсилання спаму, зазначивши, що використовує обмеження на чутливі дії, такі як запити грошей, щоб ними T зловживали.