Tangem, en leverandør av kryptolommebøker, identifiserte nylig en betydelig sikkerhetsrisiko i sin mobilapp som utilsiktet samlet inn brukernes private nøkler under e-postinteraksjoner.
Denne løsningen kom etter gjentatte advarsler fra medlemmer som uttrykte bekymring for potensielle sikkerhetsrisikoer. De indikerte at brukernes private nøkler ble samlet inn via e-postinteraksjoner i Tangem-mobilappen.
Tangem-brukere står overfor kritiske sikkerhetsrisikoer
Den 29. desember ble en potensiell sikkerhetssårbarhet i Tangems lommebok fremhevet i en diskusjon på Reddit. Brukere avslørte at private nøkler ble lagret i e-posthistorikker, potensielt eksponert for Tangem-ansatte.
En Reddit-bruker kjent som “u/areklanga” avslørte sårbarheten i et forum, noe som utløste bekymring i fellesskapet.
“Så, brukernes private nøkler forblir både i brukernes e-posthistorikk, Tangems e-posthistorikk, og kanskje i noen Tangem billettsporingssystemer og er tilgjengelige for Tangem-ansatte. Dette gjør at alle Tangem-brukere er kompromittert,” sa brukeren.
Brukere bemerket også at det opprinnelige Reddit-innlegget som beskrev feilen ble mystisk slettet, noe som økte mistanken om Tangems første respons. Så snart disse bekymringene ble bekreftet, oversvømmet brukerne Tangem-ansatte og support via e-post.
I mellomtiden, den 30. desember, erkjente Tangem problemet og tilskrev det en feil i mobilappens loggbehandlingsfunksjon. De utstedte en uttalelse som bekreftet at de “fullstendig løste” feilen.
“Når man opprettet en lommebok med en seed phrase, ble den private nøkkelen feilaktig logget i applikasjonens logger. Disse loggene kunne senere bli tilgang til under interaksjoner med vårt supportteam,” sa Tangem i en uttalelse på Reddit.
Tangem presiserte at feilen hadde en begrenset innvirkning. Den påvirket kun brukere som genererte en seed phrase og umiddelbart sendte en supportforespørsel. De la til at Tangem slettet alle loggene mottatt av supportteamet.
Brukere anklager Tangem for å bagatellisere situasjonen
Mens Tangem raskt adresserte sårbarheten, uttrykte noen medlemmer av kryptofellesskapet bekymring for selskapets kommunikasjonsstrategi. Spesielt kritiserte de mangelen på offentlige kunngjøringer angående sårbarheten på Tangems offisielle sosiale medieplattformer.
“Jeg synes det er frustrerende hvordan Tangem bagatelliserer omfanget av denne hendelsen. Mens de hevder at bare en “veldig liten gruppe brukere” sendte en e-post med sine nøkler, hvor mange brukere hadde sine nøkler skrevet i klartekst til sine telefoner i en loggfil?” sa en Reddit-bruker.
På tidspunktet for publisering den 31. desember hadde Tangem ennå ikke gjort noen offisielle kunngjøringer angående sikkerhetsrisikoen på sine sosiale mediekanaler.
Tangem rådet alle brukere til umiddelbart å oppdatere sine mobilapplikasjoner til den nyeste versjonen for å redusere potensielle risikoer forbundet med sårbarheten.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
