Поставщик криптовалютных кошельков Tantem исправил критическую уязвимость безопасности в своем мобильном приложении, которое собирало личные ключи определенных пользователей по электронной почте.
Исправление появилось после того, как пользователи Reddit неоднократно обвиняли Tangem в том, что он подвергает риску средства инвесторов, раскрывая свои закрытые ключи в учетных записях электронной почты и сотрудникам Tangem.
29 декабря на Reddit набрала обороты дискуссия об операциях Tangem, в ходе которой провайдера кошелька обвинили в краже закрытых ключей с использованием электронной почты. Реддитор u/areklanga также обвинил Тангема в том, что он не дал «какой-либо разумной реакции», когда на эту проблему указывалось ранее.
«Таким образом, личные ключи пользователей остаются как в истории электронной почты пользователя, так и в истории электронной почты Tangem и, возможно, в какой-либо системе отслеживания билетов Tangem и доступны сотрудникам Tangen. Это ставит под угрозу всех пользователей Tangem».
Они также заявили, что исходный пост на Reddit, в котором упоминался сбой, «по какой-то причине был удален».
Тангем своевременно исправил ошибку
Тангем признал наличие проблемы 30 декабря и заявил, что инцидент возник из-за ошибки в обработке журналов мобильного приложения, которая теперь «полностью решена». Тангем также представил ситуацию:
«В чем была проблема?При создании кошелька с сид-фразой приватный ключ ошибочно записывался в журналы приложения. Доступ к этим журналам позже можно будет получить во время взаимодействия с нашей службой поддержки».
Официальный сайт Tangem, на котором регистрируются все обновления версий мобильного приложения, не упомянул подробностей об обновлении от 30 декабря.
Тангем также подтвердил в своем ответе на Reddit, что «все журналы и вложения, отправленные в его службу поддержки, были безвозвратно удалены, что гарантирует отсутствие остаточных данных».
По теме: Мошенники делятся ключами от криптовалюты с целью украсть у воров: Касперский
Тангема обвинили в преуменьшении ситуации
По данным компании, ошибка утечки исходной фразы затронула небольшую группу пользователей, и к ним активно обращаются за предостережением и поддержкой:
«Это могло затронуть очень ограниченную группу пользователей: в частности, тех, кто использовал сгенерированную исходную фразу, а затем немедленно отправил запрос в службу поддержки через приложение. Это не повлияет на других пользователей».
В то время как 30 декабря Tangem выпустил обновление, направленное на предотвращение дальнейших утечек исходных фраз, члены криптовалютного сообщества вызвали приглушенный ответ провайдера кошелька. Тангем не ответил на запрос Cointelegraph о комментариях.
По состоянию на 31 декабря компания Tangem не делала никаких официальных объявлений на своих официальных каналах в социальных сетях, Twitter, Discord или Telegram. Однако всем пользователям Tangem рекомендуется немедленно обновить свои мобильные приложения, чтобы избежать утечки исходных фраз.
