Coinbase tiết lộ sự cố về mật khẩu ảnh hưởng đến 3.500 khách hàng

Updated: 17/08/2019 at 15:00

Coinbase-su-co-mat-khau

Sàn giao dịch Coinbase đã tiết lộ một lỗ hổng tiềm năng vào hôm thứ Sáu, thông báo rằng một phần nhỏ mật khẩu của các khách hàng của họ đã được lưu trữ trong văn bản đơn giản trên nhật ký máy chủ nội bộ. Tuy nhiên, thông tin đã không được truy cập đúng cách bởi các thực thể bên ngoài, sàn giao dịch cho biết.

Trong một bài đăng được chia sẻ với CoinDesk, Coinbase đã đưa ra “vấn đề về lưu trữ mật khẩu”, có tác động đến ít hơn 3.500 khách hàng (trong số hơn 30 triệu trên toàn thế giới) dẫn đến thông tin cá nhân, bao gồm cả mật khẩu, được lưu trữ trong văn bản rõ ràng trên hệ thống đăng nhập nội bộ.

“Trong một điều kiện lỗi rất cụ thể và hiếm gặp, biểu mẫu đăng ký trên trang đăng ký của chúng tôi không được load đúng cách, điều đó có nghĩa là mọi nỗ lực tạo tài khoản Coinbase mới trong các điều kiện đó đều thất bại,” bài đăng giải thích. “Thật không may, điều đó cũng có nghĩa là tên riêng, địa chỉ email và mật khẩu được đề xuất (và trạng thái cư trú, nếu ở Mỹ) sẽ được gửi đến log nội bộ của chúng tôi.”

Trong số 3,420 trường hợp, các khách hàng tiềm năng đã sử dụng cùng một mật khẩu trong lần đăng ký thứ hai của họ, điều này sẽ thành công nhưng sẽ dẫn đến việc họ có mật khẩu khớp với phiên bản đã được hash trên các log của công ty. Những khách hàng đó đã được Coinbase thông báo qua email vào thứ Sáu.

Lỗi xảy ra do Coinbase sử dụng kết xuất phía máy chủ React.js trên trang đăng ký. Về cơ bản, khi người dùng truy cập trang để đăng ký tài khoản, React giúp hiển thị biểu mẫu cần điền.

“Bất kỳ người dùng nào cố gắng đăng ký đều cần kích hoạt JavaScript và phải để JavaScript tải một cách chính xác,” bài đăng giải thích, thêm rằng:

“Hầu như trong tất cả các trường hợp, cả hai điều này đều đúng và React xử lý việc xác thực biểu mẫu và gửi đến máy chủ. Tuy nhiên, nếu người dùng bị tắt JavaScript hoặc trình duyệt của họ đã gặp lỗi React.js khi tải, có đủ HTML được kết xuất trước mà người dùng có thể điền và cố gắng gửi biểu mẫu đăng ký của chúng tôi.”

Bởi vì hình thức HTML là “cực kỳ cơ bản”, nên không có “hành động” hay “phương pháp” nào được cài đặt cả. Do các hành vi mặc định, điều này dẫn đến một số trình duyệt mặc định là “GET”, có thể mã hóa các biến dạng như một phần của dữ liệu log.

Sàn giao dịch đã khắc phục sự cố này bằng cách chuyển đổi phương thức biểu mẫu mặc định sang “POST”, để đảm bảo dữ liệu không còn được log.

Trong khi Coinbase tìm kiếm các hình thức khác có “hành vi có vấn đề tương tự”, thì sàn giao dịch đã không tìm thấy được bất kỳ hình thức nào.

“Chúng tôi cũng đang trong quá trình thực hiện các cơ chế bổ sung để phát hiện và ngăn chặn sự lặp lại của kiểu lỗi như thế này trong tương lai”, bài đăng cho biết.

Trả lời về phát hiện này, Coinbase cho biết họ đã theo dõi vị trí khác nhau nơi các bản ghi có thể được lưu trữ, bao gồm một hệ thống được lưu trữ trên Amazon Web Services và một số “nhà cung cấp dịch vụ phân tích log”.

“Một bài đánh giá kỹ lưỡng về quyền truy cập vào các hệ thống ghi nhật ký này đã không tiết lộ bất kỳ quyền truy cập trái phép nào vào dữ liệu này,” bài viết cho biết, thêm rằng quyền truy cập vào mỗi hệ thống đều bị “hạn chế và kiểm toán chặt chẽ.”

Coinbase cho biết họ cũng đã kích hoạt đặt lại mật khẩu cho bất kỳ cá nhân nào có tài khoản bị ảnh hưởng. (Bài đăng trên blog đã thêm rằng nó yêu cầu xác thực hai yếu tố trên cùng một mật khẩu để người dùng đăng nhập vào tài khoản.)

“Mặc dù chúng tôi tự tin rằng chúng tôi đã khắc phục nguyên nhân gốc và thông tin đã log không được truy cập đúng cách, sử dụng sai hoặc bị xâm phạm một cách không chính xác, chúng tôi đang yêu cầu những khách hàng đó thay đổi mật khẩu để phòng ngừa tốt nhất,” bài đăng giải thích.

“Như một lời nhắc nhở, Coinbase cũng duy trì một chương trình tiền thưởng nhằm phát hiện lỗi trên HackerOne, đã trao thưởng hơn một phần tư triệu đô la cho đến nay. Mặc dù lỗi đặc biệt này đã được phát hiện trong nội bộ, chúng tôi hoan nghênh các nhà nghiên cứu bảo mật gửi báo cáo bất cứ khi nào họ tin rằng họ có thể đã phát hiện ra một lỗ hổng trong một trong các hệ thống của chúng tôi,” sàn giao dịch kết luận.

Tiết lộ của Coinbase, được đưa ra sau khi Binance và Huobi bị vi phạm dữ liệu thực tế. Không giống như Coinbase, Binance và Huobi dường như đã mất quyền kiểm soát dữ liệu KYC của khách hàng, bao gồm các tài liệu xác minh danh tính.

Diệu Anh

Tạp chí Bitcoin | Coindesk

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Các sản phẩm đầu tư tiền điện tử do các công ty quản lý tài sản hàng đầu như BlackRock, Bitwise, Fidelity, Grayscale, ProShares và 21Shares điều hành đã tiếp tục thu hút thêm dòng tiền ròng trị giá 286 triệu đô la Mỹ trên toàn cầu trong tuần qua,... ...

Strategy tiếp tục mua thêm 1.045 BTC với tổng giá trị khoảng 110,2 triệu đô la, với mức giá trung bình 105.426 đô la, trong khoảng thời gian từ ngày 2 đến ngày 8 tháng 6, theo thông báo 8-K gửi SEC Hoa Kỳ vào thứ Hai. Hiện tại, công ty... ...

Bitcoin lại tiếp tục hướng lên khi breakout thành công một mô hình tăng giá. Các nhà phân tích nhận định rằng BTC có thể sớm chạm mốc 144.000 đô la. Kịch bản này tiếp tục được củng cố bởi yếu tố lịch sử và sự mất cân đối giữa... ...

Trong tuần vừa qua, các quỹ Bitcoin ETF giao ngay được niêm yết tại Mỹ ghi nhận tổng dòng tiền ra ròng hơn 120 triệu USD. Dù con số này phản ánh tâm lý dè dặt tiếp diễn từ nhà đầu tư, nó cũng cho thấy sự cải thiện nhẹ... ...

Trong tuần đầu tiên của tháng 6, mạng lưới Tron khép lại chuỗi ngày giao dịch với vị thế một trong những blockchain “đáng xem” nhất, nhờ hàng loạt tín hiệu tích cực. Tiêu điểm nằm ở cú bùng nổ của lượng địa chỉ hoạt động: số địa chỉ truy... ...

Ethereum, đồng tiền điện tử lớn thứ hai thế giới, đang trải qua giai đoạn đi ngang kéo dài, khi giá tiếp tục dao động quanh mức 2.512 USD mà không thể tạo ra bất kỳ đột phá đáng kể nào. Mặc dù được mệnh danh là “vua của các... ...

Bitcoin (BTC) hướng đến một tuần có nhiều sự kiện và dữ liệu kinh tế vĩ mô khác với phe bò hy vọng rằng tài sản hàng đầu đã kiểm tra xong mức hỗ trợ $100.000. Diễn biến giá BTC mang lại một số hy vọng khi đóng cửa hàng... ...

Pi Network (PI) tiếp tục trượt dài thêm một tuần nữa, làm dấy lên tâm lý bất an trong giới nhà đầu tư. Tuy nhiên, một chuyên gia phân tích đã lên tiếng, đặc biệt về những gì team có thể làm để thổi bùng trở lại làn sóng lạc... ...

Mùa altcoin gần nhất từng diễn ra là vào năm 2017, khi hầu hết các altcoin đồng loạt tăng vọt. Tuy nhiên, theo nhà phân tích Michaël van de Poppe, các chu kỳ tương tự đã không lặp lại vào năm 2021 – và thậm chí đến năm 2025 cũng... ...

Vào ngày 8/6, Binance Coin (BNB) đã ghi nhận dòng tiền vào lên tới 4,6 triệu đô la, trong khi dòng tiền ra chỉ ở mức 3,69 triệu đô la. Kết quả là dòng tiền ròng dương, cho thấy tín hiệu rõ ràng về niềm tin ngày càng tăng từ... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode