快捷搜索:  GROUP  as

明文形式存入日志 Coinbase爆密码存储漏洞

明文形式存入日志 Coinbase爆密码存储漏洞

上周五,加密货币交换机Coinbase披露了一个潜在的漏洞,声称它的一些客户端密码以纯文本形式存储在内部服务器日志中。但该交易所表示,无法不正当地获取这些信息。
 
在事后分析中,Coinbase描述了他们的\\“密码存储漏洞”,表明目前约有3500名客户受到影响(Coinbase在世界各地有3 000多万客户),他们的个人信息,包括密码,在内部日志系统中被简要地以明文形式存储。
 
Coinbase解释说:
 
“在非常特殊和罕见的错误情况下,我们注册页上的注册面无法正确加载,这意味着在这种情况下创建一个新的Coinbase帐户的尝试将失败。不幸的是,在这种情况下,诸如个人姓名、电子邮件地址、默认密码和您的居住状态(如果在美国)等信息将发送到我们的内部日志。”
 
在3420个实例中,潜在客户在第二次尝试注册时可以成功地使用相同的密码注册,但将其密码与公司日志中的加密版本匹配,Coinbase随后将加密版本发送给该加密版本。
 
据报道,发生此错误是因为Coinbase在注册页面上使用了React.js服务器端呈现。也就是说,当用户访问页面注册帐户时,响应会帮助显示需要填写的表单。Coinbase补充说:
 
“任何试图注册的用户都需要启用JavaScript,并正确加载JavaScript。在这种情况下,请响应表单验证并将其提交给服务器。但是,如果用户禁用JavaScript,或者浏览器在加载时收到React.js错误,将有足够的预渲染HTML,用户可以填写并尝试提交注册表单。”
 
因为HTML表单是\\“非常基本的\\”,所以没有设置操作或方法属性。默认情况下,它会导致某些浏览器默认为\\“get\\”条件,并将表单变量编码为日志数据的一部分。要解决此问题,Coinbase现在将默认的表单方法切换为\\“post\\”,以确保不再记录数据。
 
Coinbase随后搜索其他形式的“有问题的行为”,但没有发现任何问题。Coinbase接着说:
 
“我们还在实施其他机制,以发现和防止今后无意中引入此类错误。”
 
不仅如此,Coinbase进一步回答了这个问题,声称它跟踪了可以存储日志的各种位置,包括在Amazon Web Services上托管的系统和一些\\“日志分析服务提供商”。\\Coinbase证实:
 
“在对这些日志系统的访问进行了全面审查之后,我们没有发现任何未经授权的数据访问,对每个系统的访问受到严格限制和审计。”
 
目前,Coinbase已重置受影响帐户的密码,并确认如果用户重新登录就需要双因素身份验证,并添加:
 
“尽管我们确信我们已经从根本上解决了这个问题,而且记录的信息没有被错误地访问、滥用或泄露,但我们仍然要求这些客户更改密码,以确保最好的预防措施。我们还想提醒你,Coinbase仍然在HackerOne上保持一个活跃的Bug奖励机制,到目前为止,它已经支付了超过250000美元。虽然这个特定的错误是在内部发现的,但我们欢迎安全研究人员在发现我们的一个系统中的缺陷时进行报告。”
 
最近,币ANN和火币都遇到了数据泄露问题,但与Coinbase不同,Coinbase并没有失去对客户数据(包括身份验证文件)的控制。
 

您可能还会对下面的文章感兴趣: