Tangem Giải Quyết Lỗ Hổng Bảo Mật Nghiêm Trọng Lộ Cụm Từ Khôi Phục
Tangem đã khắc phục một lỗi trong ứng dụng của mình có nguy cơ lộ khóa riêng, nhưng phản ứng của họ bị chỉ trích là quá yên lặng.
Cập nhật (31/12, 12:40 chiều UTC): Bài viết này đã được cập nhật để bao gồm tuyên bố của Tangem về lỗ hổng bảo mật, giải pháp và cách xử lý tình huống.
Nhà cung cấp ví tiền điện tử Tangem đã khắc phục một lỗ hổng bảo mật lớn trong ứng dụng di động của mình, lỗ hổng này đã vô tình thu thập khóa riêng của một số người dùng qua email.
Vấn đề đã được giải quyết sau khi cộng đồng Reddit liên tục cảnh báo, chỉ trích Tangem vì đã đặt quỹ của nhà đầu tư vào nguy cơ bằng cách tiết lộ khóa riêng của họ trong các tài khoản email và cho nhân viên Tangem.
Vào ngày 29/12, một cuộc thảo luận trên Reddit về hoạt động của Tangem đã thu hút sự chú ý, chỉ ra rằng các khóa riêng đang bị bỏ lại trong lịch sử email. Người dùng Reddit, u/areklanga, đã lưu ý rằng Tangem đã không phản hồi thích hợp khi vấn đề này được nêu ra lần đầu tiên.
"Vậy, khóa riêng của người dùng vẫn còn trong cả lịch sử email của người dùng, lịch sử email của Tangem, và có thể trong một số hệ thống theo dõi vé của Tangem và có sẵn cho nhân viên Tangen. Điều này làm cho tất cả người dùng Tangem bị xâm phạm."
Cũng có thông tin rằng bài đăng gốc trên Reddit thảo luận về vấn đề này đã bị xóa vì lý do không rõ ràng.
Phản ứng Nhanh Chóng của Tangem đối với Lỗi
Tangem đã thừa nhận vấn đề vào ngày 30/12, cho rằng nó xuất phát từ một lỗi trong quá trình xử lý log của ứng dụng di động, mà họ khẳng định đã được giải quyết hoàn toàn. Họ đã cung cấp chi tiết về vấn đề:
"Vấn đề là gì? Khi tạo ví với cụm từ khôi phục, khóa riêng đã bị ghi nhầm vào log của ứng dụng. Những log này sau đó có thể được truy cập trong quá trình tương tác với đội ngũ hỗ trợ của chúng tôi."
Tangem đã phát hành một bản cập nhật mới vào ngày 30/12. Nguồn: Google Play
Theo bài đăng của Tangem trên Reddit, lỗi này chỉ ảnh hưởng đến một số lượng hạn chế người dùng, và công ty đang liên lạc chủ động với họ để thực hiện các biện pháp phòng ngừa và hỗ trợ:
"Nó có thể đã ảnh hưởng đến một nhóm người dùng rất hạn chế: cụ thể là những người đã sử dụng cụm từ khôi phục được tạo ra, sau đó ngay lập tức gửi yêu cầu hỗ trợ qua ứng dụng. Nó không ảnh hưởng đến bất kỳ người dùng nào khác."
Trong một tuyên bố, Tangem xác nhận rằng lỗ hổng này chỉ ảnh hưởng đến dưới 0.1% người dùng trong điều kiện cụ thể.
Lỗ hổng chỉ ảnh hưởng đến người dùng đã kích hoạt ví với cụm từ khôi phục và liên hệ với hỗ trợ trong vòng bảy ngày kể từ khi kích hoạt. Người dùng không có cụm từ khôi phục hoặc những người không liên hệ với hỗ trợ qua ứng dụng không bị ảnh hưởng.
"Không có khóa riêng nào bị xâm phạm, không có quỹ của người dùng bị mất, và không có truy cập trái phép vào tài khoản xảy ra," Tangem tuyên bố, giải quyết mối quan ngại được nêu ra bởi cộng đồng tiền điện tử.
Trang web chính thức của Tangem, nơi ghi lại tất cả các bản cập nhật phiên bản của ứng dụng di động, không đề cập đến chi tiết về bản cập nhật ngày 30/12 tại thời điểm xuất bản.
Tangem cũng xác nhận trong phản hồi trên Reddit rằng "tất cả các log và tệp đính kèm được gửi đến đội ngũ hỗ trợ của họ đã bị xóa vĩnh viễn, đảm bảo không còn dữ liệu còn sót lại."
Cộng Đồng Cáo Buộc Tangem Đã Xem Nhẹ Vấn Đề
Mặc dù Tangem đã nhanh chóng cập nhật vào ngày 30/12 để ngăn chặn việc rò rỉ thêm cụm từ khôi phục, một số thành viên trong cộng đồng tiền điện tử đã chỉ trích phản ứng của nhà cung cấp ví là quá yên lặng. Tuy nhiên, Tangem tuyên bố đã giao tiếp trực tiếp với người dùng bị ảnh hưởng và xử lý tình huống một cách minh bạch.
Tại thời điểm xuất bản vào ngày 31/12, Tangem chưa đưa ra bất kỳ thông báo công khai nào trên các kênh truyền thông xã hội của mình, bao gồm Twitter, Discord hoặc Telegram. Tuy nhiên, tất cả người dùng Tangem được khuyến khích cập nhật ứng dụng di động của họ ngay lập tức để ngăn chặn khả năng rò rỉ cụm từ khôi phục.
Để đáp lại vấn đề này, Tangem đã giới thiệu một số biện pháp mới, bao gồm các giao thức bảo mật được nâng cao, một chương trình tiếp cận chủ động để thông báo cho người dùng bị ảnh hưởng với hướng dẫn rõ ràng và hỗ trợ, và một chương trình thưởng lỗi để xác định các lỗ hổng đổi lấy phần thưởng.
Theo Cointelegraph
Tin khác
