Кошелек Tangem собрал начальные фразы пользователей из-за сбоя электронной почты

Поставщик криптовалютных кошельков Tantem исправил критическую уязвимость безопасности в своем мобильном приложении, которое собирало личные ключи определенных пользователей по электронной почте.

Исправление появилось после того, как пользователи Reddit неоднократно обвиняли Tangem в том, что он подвергает риску средства инвесторов, раскрывая свои закрытые ключи в учетных записях электронной почты и сотрудникам Tangem.

29 декабря на Reddit набрала обороты дискуссия об операциях Tangem, в ходе которой провайдера кошелька обвинили в краже закрытых ключей с использованием электронной почты. Реддитор u/areklanga также обвинил Тангема в том, что он не дал «какой-либо разумной реакции», когда на эту проблему указывалось ранее.

«Таким образом, личные ключи пользователей остаются как в истории электронной почты пользователя, так и в истории электронной почты Tangem и, возможно, в какой-либо системе отслеживания билетов Tangem и доступны сотрудникам Tangen. Это ставит под угрозу всех пользователей Tangem».

Они также заявили, что исходный пост на Reddit, в котором упоминался сбой, «по какой-то причине был удален».

Тангем своевременно исправил ошибку

Тангем признал наличие проблемы 30 декабря и заявил, что инцидент возник из-за ошибки в обработке журналов мобильного приложения, которая теперь «полностью решена». Тангем также представил ситуацию:

«В чем была проблема?При создании кошелька с сид-фразой приватный ключ ошибочно записывался в журналы приложения. Доступ к этим журналам позже можно будет получить во время взаимодействия с нашей службой поддержки».

Официальный сайт Tangem, на котором регистрируются все обновления версий мобильного приложения, не упомянул подробностей об обновлении от 30 декабря.

Тангем также подтвердил в своем ответе на Reddit, что «все журналы и вложения, отправленные в его службу поддержки, были безвозвратно удалены, что гарантирует отсутствие остаточных данных».

По теме: Мошенники делятся ключами от криптовалюты с целью украсть у воров: Касперский

Тангема обвинили в преуменьшении ситуации

По данным компании, ошибка утечки исходной фразы затронула небольшую группу пользователей, и к ним активно обращаются за предостережением и поддержкой:

«Это могло затронуть очень ограниченную группу пользователей: в частности, тех, кто использовал сгенерированную исходную фразу, а затем немедленно отправил запрос в службу поддержки через приложение. Это не повлияет на других пользователей».

В то время как 30 декабря Tangem выпустил обновление, направленное на предотвращение дальнейших утечек исходных фраз, члены криптовалютного сообщества вызвали приглушенный ответ провайдера кошелька. Тангем не ответил на запрос Cointelegraph о комментариях.

По состоянию на 31 декабря компания Tangem не делала никаких официальных объявлений на своих официальных каналах в социальных сетях, Twitter, Discord или Telegram. Однако всем пользователям Tangem рекомендуется немедленно обновить свои мобильные приложения, чтобы избежать утечки исходных фраз.