Crypto wallet Tangem kohtaa vastareaktion sen jälkeen, kun sovellusvirhe paljastaa käyttäjien yksityiset avaimet

Cryptocurrency wallet Tangem on sotkeutunut kiistaan ​​sen jälkeen, kun sen mobiilisovelluksen kriittinen tietoturvahaavoittuvuus paljasti joidenkin käyttäjien yksityiset avaimet.

Tangemin mukaan haavoittuvuus johtui Tangemin mobiilisovelluksen virheestä, joka kirjasi vahingossa käyttäjien yksityiset avaimet sovelluksen lokeihin, kun käyttäjä loi lompakon ja loi siemenlauseen.

Erityisesti Tangem-lompakkokäyttäjät huomasivat ongelman Reddit-sosiaalisen median alustalla, mutta yritys otti asiaan kantaa vasta sen jälkeen, kun käyttäjä u/areklanga 29. joulukuuta lähettänyt viestin kiinnitti asiaan huomiota.

Redditor väitti, että lokit eivät olleet vain tallennettuna sovellukseen, vaan niihin oli mahdollisesti pääsy käyttäjien sähköpostihistorian, Tangemin sisäisten tukijärjestelmien ja lippujen seurantatyökalujen kautta.

Kiistaa lisäsi se, että alkuperäinen virheestä ilmoittanut viesti poistettiin, eikä yritys "antanut mitään järkevää reaktiota", käyttäjä lisäsi.

Mitä tapahtui?

Tangem käsitteli ongelmaa 29. joulukuuta antamassaan vastauksessa ja väitti, että ongelmalla oli vain vähän vaikutusta ja se vaikutti vain käyttäjiin, jotka "lähettivät välittömästi tukipyynnön sovelluksen kautta" luodun siemenlauseen käytön jälkeen.

Tangemin siementuotantoprosessi tarjoaa käyttäjille mahdollisuuden luoda lompakoita siemenlauseen kanssa tai ilman. Kun käyttäjä päättää luoda lompakon siemenlausekkeella, Tangem-sovellus luo 12- tai 24-sanaisen lauseen BIP39-standardin perusteella.

Tämä lause näytetään kerran asennuksen aikana, ja käyttäjien on kirjoitettava se muistiin ja tallennettava se turvallisesti, koska sitä ei voi hakea myöhemmin.

Seurantaviestissä 30. joulukuuta yhtiö sanoi, että virhe, joka otettiin käyttöön lisättäessä NFC-lokimekanismia, korjattiin tuoreessa päivityksessä ja kehotti käyttäjiä päivittämään mobiilisovelluksen.

Mitä tulee tietomurron vaikutuksiin, yritys sanoi, että käyttäjiä oli "alle 0,1 %" eli käyttäjiä, jotka aktivoivat lompakon siemenlauseella ja ottivat yhteyttä tukeen "7 päivän sisällä aktivoinnista".

Se lisäsi, että tapaus ei johtanut varojen menettämiseen, koska mikään käyttäjän yksityisistä avaimista ei vaarantunut.

Osana tapauksen jälkeisiä toimenpiteitään Tangem on ottanut yhteyttä käyttäjiin, joita asia koskee, ja poistanut pysyvästi kaikki yrityksen tukitiimille lähetetyt lokiliitteet.

Kirjoittaessaan Tangemin vastaus on rajoittunut Redditiin, eikä se ole ilmoittanut tapauksesta muissa sosiaalisen median kanavissaan.

Tämä on johtanut jonkin verran kritiikkiin yhteisön jäseniltä, ​​joista monet ovat edelleen skeptisiä lompakon tarjoajan toimenpiteisiin.

Yksityisten avainten varkaus on edelleen huolenaihe

Yksityiset avaimet ovat edelleen vaarassa useiden uhkien, kuten ohjelmistojen haavoittuvuuksien, tietojenkalasteluhyökkäysten ja virheellisten tallennuskäytäntöjen vuoksi.

Kuten Invezz on aiemmin raportoinut, yksityisen avaimen varkaus oli vuoden 2024 suurin hyökkäysvektori, jonka osuus kaikista hakkeroista oli noin 75 prosenttia. Pelkästään kolmannella neljänneksellä menetettiin yli 343 miljoonaa dollaria erillisen raportin mukaan.

Yksityisten avainten vuodot johtivat myös joihinkin vuoden suurimmista tappioista. Esimerkiksi intialaisen kryptopörssi WazirX heinäkuun hakkerointi johtui vaarantuneista yksityisistä avaimista, mikä johti yli 235 miljoonan dollarin tappioihin.