Coinbase: salvate in chiaro le password di 3500 clienti per un bug
Sicurezza

Coinbase: salvate in chiaro le password di 3500 clienti per un bug

By Michele Porta - 17 Ago 2019

Chevron down

Coinbase ha rivelato una potenziale vulnerabilità, annunciando che una piccola parte delle password dei propri clienti sono state archiviate come semplice testo, quindi non criptate, su un registro interno del server. Tuttavia, l’exchange ha sottolineato che le informazioni non sono state lette in modo improprio da terzi.

Il problema nel modulo di registrazione

Coinbase ha delineato un problema di archiviazione delle password, che ha avuto un impatto su circa 3500 clienti.

Il bug ha provocato il salvataggio di informazioni personali, comprese le password, in chiaro all’interno dei sistemi di registrazione.

“In una condizione molto specifica e piuttosto rara, il modulo di registrazione sulla nostra homepage non si caricava correttamente. Questo significava che qualsiasi tentativo di creare un nuovo account Coinbase in tali condizioni falliva. Sfortunatamente, significava anche che il nome, l’indirizzo email e la password proposti, sarebbero stati inviati lo stesso ai nostri registri interni”.

I clienti interessati sono stati avvisati da Coinbase via e-mail prontamente.

“Stiamo implementando meccanismi aggiuntivi per rilevare e prevenire l’introduzione involontaria di questo tipo di bug in futuro.”

L’exchange ha giustamente tenuto a precisare, rassicurando i propri clienti, che:

“Una revisione approfondita ai sistemi di registrazione non ha rivelato alcun accesso non autorizzato ai dati sensibili. Ogni accesso è strettamente limitato e controllato.”

La questione sicurezza

Coinbase sembra sempre essere molto attenta alla questione sicurezza e non a caso ha un programma di ricompensa di bug attivo su HackerOne, in cui finora ha già premiato per oltre un quarto di milione di dollari.

“Sebbene questo particolare bug sia stato scoperto internamente, accogliamo con favore tutti coloro che inviano segnalazioni ogni volta che ritengono di aver scoperto un difetto in uno dei nostri sistemi.”

L’exchange ha affermato di aver anche attivato la reimpostazione obbligatoria della password per ogni persona il cui account è stato interessato dal bug. Inoltre, per maggior sicurezza ha richiesto la riabilitazione dell’autenticazione a due fattori.

“Sebbene siamo fiduciosi di aver risolto la causa principale e che le informazioni registrate non fossero state lette, utilizzate in modo improprio o compromesse, stiamo richiedendo ai clienti interessati  di modificare le loro password come precauzione.”

 

Michele Porta
Michele Porta

Ingegnere informatico. Da sempre appassionato di tecnologia, hardware e software. Entra nel mondo delle criptovalute negli ultimi anni imparando a fare trading e studiando gli aspetti tecnologici e implementativi delle principali crypto sul mercato. Spera in un futuro privo di contanti e basato sulla sicurezza garantita dalla blockchain.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.