加密交换Coinbase周五披露了一个潜在的漏洞,宣布其客户密码的一小部分以纯文本形式存储在内部服务器日志中。但是,交易所表示,外部各方不会不正当地访问这些信息。

在与CoinDesk共享的验尸中,Coinbase概述了“密码存储问题”,影响了不到3,500名客户(全球超过3000万人),这些客户简要地导致了个人信息,包括密码,以明文形式存储在内部记录系统中。

“在一个非常特殊和罕见的错误情况下,我们的注册页面上的注册表单将无法正确加载,这意味着在这些条件下创建新Coinbase帐户的任何尝试都将失败,”该帖子解释说。 “不幸的是,这也意味着个人的姓名,电子邮件地址和建议的密码(以及居住州,如果在美国)将被发送到我们的内部日志。”

在3,420个实例中,潜在客户在第二次注册尝试时使用相同的密码,这将成功,但会导致他们的密码与公司日志中的散列版本相匹配。周五,Coinbase通过电子邮件通知了这些客户。

由于Coinbase在注册页面上使用React.js服务器端呈现,因此发生了该错误。基本上,当用户访问该页面以注册帐户时,React会帮助显示需要填写的表单。

“任何试图注册的用户都需要启用JavaScript,并且需要正确加载JavaScript,”该帖子解释说,并补充道:

“几乎在所有情况下,这两件事都是真的,React处理表单验证并提交给服务器。但是,如果用户禁用了JavaScript或者他们的浏览器在加载时收到了React. js错误,则会有足够的预呈现HTML,用户可以填写并尝试提交我们的注册表单。“

因为HTML表单“非常基本”,所以没有设置“动作”或“方法”属性。由于默认行为,这导致一些浏览器默认为“GET”,它将表单变量编码为日志数据的一部分。

交易所通过将默认表单方法切换为“POST”来解决问题,以确保不再记录数据。

虽然Coinbase搜索了“有问题的行为”的其他形式,但交易所并未发现任何形式。

“我们还在实施其他机制来检测和防止将来无意中引入此类错误,”博客文章说。

为了回应这一发现,Coinbase表示它跟踪了可能存储日志的各个位置,其中包括托管在Amazon Web Services上的系统和一些“日志分析服务提供商”。

“对访问这些日志记录系统的彻底审查没有发现任何未经授权的访问这些数据,”该帖子说,并补充说,对每个系统的访问都是“严格限制和审计的。”

Coinbase表示,它还为帐户受影响的任何个人触发了密码重置。 (该博客文章补充说,它需要在密码之上进行双因素身份验证,以便用户登录帐户。)

“虽然我们确信我们已经修复了根本原因并且记录的信息未被不正当地访问,误用或泄露,但我们要求这些客户更改其密码作为最佳实践预防措施,”帖子说明。

“作为提醒,Coinbase还在HackerOne 上保留了一个活跃的错误赏金计划,迄今已支付了超过25万美元。虽然这个特定的错误是在内部发现的,但我们欢迎安全研究人员在他们认为他们可能在我们的某个系统中发现缺陷时提交报告,“该交易所得出结论。

Coinbase的披露紧随Binance和Huobi遭受实际数据泄露。与Coinbase不同,Binance和Huobi似乎失去了对客户知道客户数据的控制权,包括身份验证文件。

通过CoinDesk档案的Brian Armstrong图像

                    

LEAVE A REPLY

Please enter your comment!
Please enter your name here