Компания Tangem заявила, что устранила ошибку в своем приложении, которая могла привести к раскрытию приватных ключей, но пользователи раскритиковали ее неактивную реакцию.
Производитель криптовалютных кошельков Tangem устранил критическую уязвимость в своем мобильном приложении, которая позволяла получать приватные ключи некоторых пользователей по электронной почте.
Исправление появилось после того, как участники Reddit неоднократно обвиняли Tangem в том, что он подвергает риску средства инвесторов, раскрывая их приватные ключи на электронных почтовых ящиках и сотрудникам Tangem.
29 декабря на Reddit разгорелась дискуссия о деятельности Tangem, в которой утверждалось, что производитель кошельков позволяет закрытым ключам оставаться в истории электронной почты. Участник Reddit, u/areklanga, добавил, что Tangem не предоставил «разумной реакции», когда на эту проблему указали ранее.
Они также заявили, что оригинальный пост на Reddit, в котором упоминался этот сбой, «по какой-то причине был удален».
Tangem выпустил оперативное исправление ошибки
Компания Tangem признала наличие проблемы 30 декабря и заявила, что инцидент произошел из-за ошибки в обработке логов мобильного приложения, которая была «полностью устранена». Tangem также предоставил описание ситуации:
На официальном сайте Tangem, где публикуются все обновления версии мобильного приложения, не было указано подробностей об обновлении 30 декабря.
В своем ответе на Reddit компания Tangem также подтвердила, что «все журналы и вложения, отправленные в службу поддержки, были удалены безвозвратно, поэтому никаких остаточных данных не осталось».
Tangem обвиняют в преуменьшении проблемы
По словам представителей компании, ошибка затронула небольшую группу пользователей, и с ними активно связываются для предостережения и поддержки:
Хотя 30 декабря Tangem выпустил обновление, чтобы предотвратить дальнейшую утечку сид-фраз, некоторые члены криптосообщества отметили, что производитель кошельков не отреагировал на проблему. Tangem также не сразу ответил на запрос Cointelegraph о комментарии.
По состоянию на 31 декабря Tangem не делал никаких объявлений на своих каналах в социальных сетях, Twitter, Discord или Telegram. Однако всем пользователям Tangem рекомендуется немедленно обновить свои мобильные приложения, чтобы избежать возможных утечек начальных фраз.
Источник: https://cointelegraph.com/news/tangem-security-vulnerability-fixed-private-key-leak
Производитель криптовалютных кошельков Tangem устранил критическую уязвимость в своем мобильном приложении, которая позволяла получать приватные ключи некоторых пользователей по электронной почте.
Исправление появилось после того, как участники Reddit неоднократно обвиняли Tangem в том, что он подвергает риску средства инвесторов, раскрывая их приватные ключи на электронных почтовых ящиках и сотрудникам Tangem.
29 декабря на Reddit разгорелась дискуссия о деятельности Tangem, в которой утверждалось, что производитель кошельков позволяет закрытым ключам оставаться в истории электронной почты. Участник Reddit, u/areklanga, добавил, что Tangem не предоставил «разумной реакции», когда на эту проблему указали ранее.
Таким образом, приватные ключи пользователей остаются в истории электронной почты пользователей, в истории электронной почты Tangem, и, возможно, в какой-то системе отслеживания тикетов Tangem, и доступны для сотрудников Tangem. Таким образом, все пользователи Tangem оказываются под угрозой.
Они также заявили, что оригинальный пост на Reddit, в котором упоминался этот сбой, «по какой-то причине был удален».
Tangem выпустил оперативное исправление ошибки
Компания Tangem признала наличие проблемы 30 декабря и заявила, что инцидент произошел из-за ошибки в обработке логов мобильного приложения, которая была «полностью устранена». Tangem также предоставил описание ситуации:
В чем заключалась проблема? При создании кошелька с помощью сид-фразы приватный ключ ошибочно записывался в журнал приложения. Впоследствии эти журналы могли быть доступны при взаимодействии с нашей службой поддержки.
На официальном сайте Tangem, где публикуются все обновления версии мобильного приложения, не было указано подробностей об обновлении 30 декабря.
В своем ответе на Reddit компания Tangem также подтвердила, что «все журналы и вложения, отправленные в службу поддержки, были удалены безвозвратно, поэтому никаких остаточных данных не осталось».
Tangem обвиняют в преуменьшении проблемы
По словам представителей компании, ошибка затронула небольшую группу пользователей, и с ними активно связываются для предостережения и поддержки:
Это могло повлиять на очень ограниченную группу пользователей: в частности, на тех, кто использовал сгенерированную сид-фразу, а затем сразу же отправил запрос в службу поддержки через приложение. Других пользователей это не касается.
Хотя 30 декабря Tangem выпустил обновление, чтобы предотвратить дальнейшую утечку сид-фраз, некоторые члены криптосообщества отметили, что производитель кошельков не отреагировал на проблему. Tangem также не сразу ответил на запрос Cointelegraph о комментарии.
По состоянию на 31 декабря Tangem не делал никаких объявлений на своих каналах в социальных сетях, Twitter, Discord или Telegram. Однако всем пользователям Tangem рекомендуется немедленно обновить свои мобильные приложения, чтобы избежать возможных утечек начальных фраз.
Источник: https://cointelegraph.com/news/tangem-security-vulnerability-fixed-private-key-leak
