Coinbase descubrió 3.500 vulnerabilidades de contraseña de usuario

La comunidad de criptomonedas critica la colaboración de Coinbase con el gobierno de EE. UU.

El intercambio de criptomonedas de EE. UU. Coinbase informó que descubrió una vulnerabilidad debido a qué parte de las contraseñas de sus clientes se almacenaba en texto sin formato en el registro interno del servidor.

El mensaje de cambio se dice que esta información no estaba disponible a terceros. Coinbase habló sobre el «problema de almacenamiento de contraseña» en su blog, que afectó a unos 3.500 clientes. La vulnerabilidad llevó al hecho de que la información personal de los usuarios, incluidas las contraseñas, se almacenaba en texto claro en el sistema de registro en el servidor interno del intercambio.

“Con una condición de error muy específica y rara, el formulario en nuestra página de registro no se cargó correctamente. Esto significaba que cualquier intento de crear una nueva cuenta de Coinbase en estas condiciones no tuvo éxito. Desafortunadamente, esto también significó que el nombre, la dirección de correo electrónico y la contraseña de la persona se enviaron a nuestras revistas internas «, dijo el intercambio.

En 3,420 casos, los clientes potenciales usaron la misma contraseña durante el segundo intento de registro, que resultó ser exitoso. Por lo tanto, la contraseña utilizada por ellos coincidió con la contraseña almacenada en los registros de la empresa. Estos clientes recibieron un correo electrónico de Coinbase.

El error ocurrió debido al uso de la visualización de Coinbase en el lado del servidor de React.js en la página de registro. Cuando un usuario visitó la página para registrar una cuenta, React ayudó a mostrar el formulario que debía completarse. El intercambio dijo:

«Cualquier usuario que quiera registrarse debe activar JavaScript. En casi todos los casos, React procesa la validación del formulario y su envío al servidor. Sin embargo, si el usuario tiene JavaScript desactivado o su navegador recibe un error de React.js mientras se carga, un formulario HTML previamente representado es suficiente para que el usuario pueda completarlo e intentar enviárnoslo «.

Debido a que el formulario HTML era «básico», no se especificaron atributos de acción o método. Esto llevó a algunos navegadores a establecer el parámetro GET de forma predeterminada, que codificaba valores de variables de formulario como parte de los datos de registro. El intercambio solucionó el problema cambiando el método de formulario predeterminado a POST para garantizar que los datos ya no se registren.

«También estamos introduciendo mecanismos adicionales para detectar y prevenir la ocurrencia inadvertida de este tipo de error en el futuro», dijo la publicación del blog.

Coinbase también rastreó dónde se podrían almacenar los registros, incluido un sistema alojado en Amazon Web Services y algunos «proveedores de análisis de registros». «Un análisis exhaustivo del acceso a estos sistemas de registro no reveló el acceso no autorizado a los datos», dijo el intercambio, señalando que el acceso a cada uno de los sistemas estaba «estrictamente limitado y auditado».

Coinbase también inició un restablecimiento de contraseña para cualquier persona cuya cuenta se haya visto afectada por este error. «Aunque estamos seguros de que corregimos la causa raíz y la información no se usó de manera inapropiada y no se vio comprometida, exigimos que estos clientes cambien sus contraseñas como medida de precaución», dijo el comunicado.

La fuga de datos de los usuarios de los intercambios de criptomonedas no es una situación rara. Binance recientemente negó los rumores sobre la fuga de datos de los usuarios y, en la red oscura, comenzaron a vender supuestos datos de los usuarios de Huobi.

Estudio: 25 millones de estadounidenses planean invertir en criptomonedas

Estudio: 25 millones de estadounidenses planean invertir en criptomonedas

Prueba de Aduanas de Estados Unidos Blockchain PoC Tracking PoC

Prueba de Aduanas de Estados Unidos Blockchain PoC Tracking PoC