Sàn giao dịch Coinbase đã tiết lộ một lỗ hổng tiềm năng vào hôm thứ Sáu, thông báo rằng một phần nhỏ mật khẩu của các khách hàng của họ đã được lưu trữ trong văn bản đơn giản trên nhật ký máy chủ nội bộ. Tuy nhiên, thông tin đã không được truy cập đúng cách bởi các thực thể bên ngoài, sàn giao dịch cho biết.
Trong một bài đăng được chia sẻ với CoinDesk, Coinbase đã đưa ra “vấn đề về lưu trữ mật khẩu”, có tác động đến ít hơn 3.500 khách hàng (trong số hơn 30 triệu trên toàn thế giới) dẫn đến thông tin cá nhân, bao gồm cả mật khẩu, được lưu trữ trong văn bản rõ ràng trên hệ thống đăng nhập nội bộ.
“Trong một điều kiện lỗi rất cụ thể và hiếm gặp, biểu mẫu đăng ký trên trang đăng ký của chúng tôi không được load đúng cách, điều đó có nghĩa là mọi nỗ lực tạo tài khoản Coinbase mới trong các điều kiện đó đều thất bại,” bài đăng giải thích. “Thật không may, điều đó cũng có nghĩa là tên riêng, địa chỉ email và mật khẩu được đề xuất (và trạng thái cư trú, nếu ở Mỹ) sẽ được gửi đến log nội bộ của chúng tôi.”
Trong số 3,420 trường hợp, các khách hàng tiềm năng đã sử dụng cùng một mật khẩu trong lần đăng ký thứ hai của họ, điều này sẽ thành công nhưng sẽ dẫn đến việc họ có mật khẩu khớp với phiên bản đã được hash trên các log của công ty. Những khách hàng đó đã được Coinbase thông báo qua email vào thứ Sáu.
Lỗi xảy ra do Coinbase sử dụng kết xuất phía máy chủ React.js trên trang đăng ký. Về cơ bản, khi người dùng truy cập trang để đăng ký tài khoản, React giúp hiển thị biểu mẫu cần điền.
“Bất kỳ người dùng nào cố gắng đăng ký đều cần kích hoạt JavaScript và phải để JavaScript tải một cách chính xác,” bài đăng giải thích, thêm rằng:
“Hầu như trong tất cả các trường hợp, cả hai điều này đều đúng và React xử lý việc xác thực biểu mẫu và gửi đến máy chủ. Tuy nhiên, nếu người dùng bị tắt JavaScript hoặc trình duyệt của họ đã gặp lỗi React.js khi tải, có đủ HTML được kết xuất trước mà người dùng có thể điền và cố gắng gửi biểu mẫu đăng ký của chúng tôi.”
Bởi vì hình thức HTML là “cực kỳ cơ bản”, nên không có “hành động” hay “phương pháp” nào được cài đặt cả. Do các hành vi mặc định, điều này dẫn đến một số trình duyệt mặc định là “GET”, có thể mã hóa các biến dạng như một phần của dữ liệu log.
Sàn giao dịch đã khắc phục sự cố này bằng cách chuyển đổi phương thức biểu mẫu mặc định sang “POST”, để đảm bảo dữ liệu không còn được log.
Trong khi Coinbase tìm kiếm các hình thức khác có “hành vi có vấn đề tương tự”, thì sàn giao dịch đã không tìm thấy được bất kỳ hình thức nào.
“Chúng tôi cũng đang trong quá trình thực hiện các cơ chế bổ sung để phát hiện và ngăn chặn sự lặp lại của kiểu lỗi như thế này trong tương lai”, bài đăng cho biết.
Trả lời về phát hiện này, Coinbase cho biết họ đã theo dõi vị trí khác nhau nơi các bản ghi có thể được lưu trữ, bao gồm một hệ thống được lưu trữ trên Amazon Web Services và một số “nhà cung cấp dịch vụ phân tích log”.
“Một bài đánh giá kỹ lưỡng về quyền truy cập vào các hệ thống ghi nhật ký này đã không tiết lộ bất kỳ quyền truy cập trái phép nào vào dữ liệu này,” bài viết cho biết, thêm rằng quyền truy cập vào mỗi hệ thống đều bị “hạn chế và kiểm toán chặt chẽ.”
Coinbase cho biết họ cũng đã kích hoạt đặt lại mật khẩu cho bất kỳ cá nhân nào có tài khoản bị ảnh hưởng. (Bài đăng trên blog đã thêm rằng nó yêu cầu xác thực hai yếu tố trên cùng một mật khẩu để người dùng đăng nhập vào tài khoản.)
“Mặc dù chúng tôi tự tin rằng chúng tôi đã khắc phục nguyên nhân gốc và thông tin đã log không được truy cập đúng cách, sử dụng sai hoặc bị xâm phạm một cách không chính xác, chúng tôi đang yêu cầu những khách hàng đó thay đổi mật khẩu để phòng ngừa tốt nhất,” bài đăng giải thích.
“Như một lời nhắc nhở, Coinbase cũng duy trì một chương trình tiền thưởng nhằm phát hiện lỗi trên HackerOne, đã trao thưởng hơn một phần tư triệu đô la cho đến nay. Mặc dù lỗi đặc biệt này đã được phát hiện trong nội bộ, chúng tôi hoan nghênh các nhà nghiên cứu bảo mật gửi báo cáo bất cứ khi nào họ tin rằng họ có thể đã phát hiện ra một lỗ hổng trong một trong các hệ thống của chúng tôi,” sàn giao dịch kết luận.
Tiết lộ của Coinbase, được đưa ra sau khi Binance và Huobi bị vi phạm dữ liệu thực tế. Không giống như Coinbase, Binance và Huobi dường như đã mất quyền kiểm soát dữ liệu KYC của khách hàng, bao gồm các tài liệu xác minh danh tính.
- CEO Coinbase : Các tổ chức đang gửi vào 200-400 triệu đô la tiền điện tử mỗi tuần, xu hướng tăng giá rõ ràng
- Coinbase Custody mua lại Xapo, trở thành nhà quản lý tiền điện tử lớn nhất thế giới
Diệu Anh
Tạp chí Bitcoin | Coindesk
