Coinbase tiết lộ sự cố về mật khẩu ảnh hưởng đến 3.500 khách hàng

Updated: 17/08/2019 at 15:00

Coinbase-su-co-mat-khau

Sàn giao dịch Coinbase đã tiết lộ một lỗ hổng tiềm năng vào hôm thứ Sáu, thông báo rằng một phần nhỏ mật khẩu của các khách hàng của họ đã được lưu trữ trong văn bản đơn giản trên nhật ký máy chủ nội bộ. Tuy nhiên, thông tin đã không được truy cập đúng cách bởi các thực thể bên ngoài, sàn giao dịch cho biết.

Trong một bài đăng được chia sẻ với CoinDesk, Coinbase đã đưa ra “vấn đề về lưu trữ mật khẩu”, có tác động đến ít hơn 3.500 khách hàng (trong số hơn 30 triệu trên toàn thế giới) dẫn đến thông tin cá nhân, bao gồm cả mật khẩu, được lưu trữ trong văn bản rõ ràng trên hệ thống đăng nhập nội bộ.

“Trong một điều kiện lỗi rất cụ thể và hiếm gặp, biểu mẫu đăng ký trên trang đăng ký của chúng tôi không được load đúng cách, điều đó có nghĩa là mọi nỗ lực tạo tài khoản Coinbase mới trong các điều kiện đó đều thất bại,” bài đăng giải thích. “Thật không may, điều đó cũng có nghĩa là tên riêng, địa chỉ email và mật khẩu được đề xuất (và trạng thái cư trú, nếu ở Mỹ) sẽ được gửi đến log nội bộ của chúng tôi.”

Trong số 3,420 trường hợp, các khách hàng tiềm năng đã sử dụng cùng một mật khẩu trong lần đăng ký thứ hai của họ, điều này sẽ thành công nhưng sẽ dẫn đến việc họ có mật khẩu khớp với phiên bản đã được hash trên các log của công ty. Những khách hàng đó đã được Coinbase thông báo qua email vào thứ Sáu.

Lỗi xảy ra do Coinbase sử dụng kết xuất phía máy chủ React.js trên trang đăng ký. Về cơ bản, khi người dùng truy cập trang để đăng ký tài khoản, React giúp hiển thị biểu mẫu cần điền.

“Bất kỳ người dùng nào cố gắng đăng ký đều cần kích hoạt JavaScript và phải để JavaScript tải một cách chính xác,” bài đăng giải thích, thêm rằng:

“Hầu như trong tất cả các trường hợp, cả hai điều này đều đúng và React xử lý việc xác thực biểu mẫu và gửi đến máy chủ. Tuy nhiên, nếu người dùng bị tắt JavaScript hoặc trình duyệt của họ đã gặp lỗi React.js khi tải, có đủ HTML được kết xuất trước mà người dùng có thể điền và cố gắng gửi biểu mẫu đăng ký của chúng tôi.”

Bởi vì hình thức HTML là “cực kỳ cơ bản”, nên không có “hành động” hay “phương pháp” nào được cài đặt cả. Do các hành vi mặc định, điều này dẫn đến một số trình duyệt mặc định là “GET”, có thể mã hóa các biến dạng như một phần của dữ liệu log.

Sàn giao dịch đã khắc phục sự cố này bằng cách chuyển đổi phương thức biểu mẫu mặc định sang “POST”, để đảm bảo dữ liệu không còn được log.

Trong khi Coinbase tìm kiếm các hình thức khác có “hành vi có vấn đề tương tự”, thì sàn giao dịch đã không tìm thấy được bất kỳ hình thức nào.

“Chúng tôi cũng đang trong quá trình thực hiện các cơ chế bổ sung để phát hiện và ngăn chặn sự lặp lại của kiểu lỗi như thế này trong tương lai”, bài đăng cho biết.

Trả lời về phát hiện này, Coinbase cho biết họ đã theo dõi vị trí khác nhau nơi các bản ghi có thể được lưu trữ, bao gồm một hệ thống được lưu trữ trên Amazon Web Services và một số “nhà cung cấp dịch vụ phân tích log”.

“Một bài đánh giá kỹ lưỡng về quyền truy cập vào các hệ thống ghi nhật ký này đã không tiết lộ bất kỳ quyền truy cập trái phép nào vào dữ liệu này,” bài viết cho biết, thêm rằng quyền truy cập vào mỗi hệ thống đều bị “hạn chế và kiểm toán chặt chẽ.”

Coinbase cho biết họ cũng đã kích hoạt đặt lại mật khẩu cho bất kỳ cá nhân nào có tài khoản bị ảnh hưởng. (Bài đăng trên blog đã thêm rằng nó yêu cầu xác thực hai yếu tố trên cùng một mật khẩu để người dùng đăng nhập vào tài khoản.)

“Mặc dù chúng tôi tự tin rằng chúng tôi đã khắc phục nguyên nhân gốc và thông tin đã log không được truy cập đúng cách, sử dụng sai hoặc bị xâm phạm một cách không chính xác, chúng tôi đang yêu cầu những khách hàng đó thay đổi mật khẩu để phòng ngừa tốt nhất,” bài đăng giải thích.

“Như một lời nhắc nhở, Coinbase cũng duy trì một chương trình tiền thưởng nhằm phát hiện lỗi trên HackerOne, đã trao thưởng hơn một phần tư triệu đô la cho đến nay. Mặc dù lỗi đặc biệt này đã được phát hiện trong nội bộ, chúng tôi hoan nghênh các nhà nghiên cứu bảo mật gửi báo cáo bất cứ khi nào họ tin rằng họ có thể đã phát hiện ra một lỗ hổng trong một trong các hệ thống của chúng tôi,” sàn giao dịch kết luận.

Tiết lộ của Coinbase, được đưa ra sau khi Binance và Huobi bị vi phạm dữ liệu thực tế. Không giống như Coinbase, Binance và Huobi dường như đã mất quyền kiểm soát dữ liệu KYC của khách hàng, bao gồm các tài liệu xác minh danh tính.

Diệu Anh

Tạp chí Bitcoin | Coindesk

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Dù Bitcoin đang chật vật vượt qua mức đỉnh lịch sử 112.000 USD, những người đang gặp khó khăn lớn hơn lại là các thợ đào. Gần đây, họ đã ghi nhận một trong những giai đoạn thu nhập thấp nhất trong lịch sử hoạt động. Dữ liệu on-chain từ nền... ...

Shiba Inu (SHIB) hiện đang đối mặt với thời điểm quan trọng khi hành động giá bắt đầu cho thấy dấu hiệu đảo chiều tiềm năng. SHIB đã hoàn thành một mô hình kỹ thuật có thể thiết lập động thái tăng giá sau nhiều tháng suy yếu. Với việc... ...

Thế hệ trẻ đang thất vọng với hệ thống tài chính hiện tại, kêu gọi một mô hình xã hội chủ nghĩa được tài trợ thông qua việc gia tăng chi tiêu công, điều này sẽ thúc đẩy giá Bitcoin tăng cao hơn trong dài hạn, theo nhận định của... ...

Đà hồi phục của thị trường tiền điện tử đang gia tăng mạnh mẽ, khi Bitcoin (BTC) vững vàng trên mốc $108.000 và tiến sát mức đỉnh lịch sử. Trong bối cảnh đó, các altcoin như Arbitrum (ARB), Pyth Network (PYTH) và Immutable (IMX) nổi bật với mức tăng trưởng... ...

Nhà phân tích tiền điện tử Credible từng dự đoán chính xác về Bitcoin, đang thu hút sự chú ý khi phác thảo một kịch bản trong đó nó có thể thoát khỏi tình trạng sideways và tăng vọt lên mức cao nhất mọi thời đại mới. Credible đã chia... ...

Công ty niêm yết tại Nhật Bản Metaplanet vừa phát hành đợt trái phiếu phổ thông lần thứ 19 với tổng giá trị lên đến 30 tỷ yên (tương đương khoảng 208 triệu USD). Đây là trái phiếu không có lãi suất (zero-coupon), không có tài sản đảm bảo và... ...

Gần đây, Aptos (APT) đang trải qua giai đoạn giao dịch ảm đạm khi giá liên tục dao động quanh ngưỡng kháng cự 0,48 USD mà chưa thể bứt phá. Tuy nhiên, các tín hiệu tích cực từ dữ liệu on-chain và đà tăng của hoạt động phát triển cho... ...

Các hacker có liên hệ với chính quyền Triều Tiên đang đẩy mạnh các cuộc tấn công vào ngành tiền điện tử, với những chiến thuật ngày càng tinh vi đến từ nhóm Lazarus. Theo nhà phân tích on-chain ZachXBT, chuỗi vụ việc gần đây cho thấy nhóm này sử... ...

Tuần trước, thị trường crypto trông giống như một canh bạc. Các meme coin biến động dữ dội khi Bitcoin bật tăng mạnh từ đáy 98.000 đô la, ghi nhận cú phục hồi gần 10% để giành lại ngưỡng kháng cự quan trọng 107.000 đô la. Động thái này đã... ...

Pi Network (PI) đã tưng bừng kỷ niệm ngày Pi2Day (28/6) bằng việc giới thiệu hai nâng cấp quan trọng cho hệ sinh thái của mình. Nổi bật trong dịp này là sự ra mắt của một công cụ tạo ứng dụng không cần viết mã (no-code) được tích hợp... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode