Maior exchange do mundo, a CoinBase, anunciou em um post, no dia 16 de agosto, que alguns detalhes de cadastro foram aparentemente armazenados em forma de texto nos registros do servidor interno da Coinbase. Os clientes afetados receberam um email para alterar suas senhas.
De acordo com o anúncio, a Coinbase disse que resolveu a causa do bug e a plataforma está confiante de que os dados armazenados não foram “acessados indevidamente, mal utilizados ou comprometidos”. A empresa ainda afirmou que enviou email para os 3.420 clientes afetados para divulgar o acidente com o cadastro de clientes.
Como o erro ocorreu?
De acordo com uma condição de erro muito específica e rara, o formulário de cadastro na página de inscrição não foi carregado corretamente, o que significa que qualquer tentativa de criar uma nova conta da Coinbase nessas condições falharia. Infelizmente, isso também significava que o nome do indivíduo, o endereço de e-mail e a senha proposta (e o estado de residência, se nos EUA) seriam enviados para os registros internos da Coinbase.
Se o indivíduo recarregasse a página e enviasse o formulário para um registro bem – sucedido , suas informações de registro (corretamente) não seriam registradas e a senha seria criptografada com segurança. No entanto, nas 3.420 instâncias referenciadas acima, o usuário registrou com sucesso usando uma senha com um hash que correspondia ao anteriormente registrado.
O que foi feito após a correção?
Depois que identificaram e corrigiram o bug, a empresa rastreiou todos os lugares onde esses logs podem ter sido concluídos. Com um sistema de registro interno hospedado na AWS, bem como um pequeno número de provedores de serviços de análise de logs. O acesso a todos esses sistemas é restrito e auditado.
Após uma revisão completa do acesso a esses sistemas de registro, foi verificado que não ocorreu nenhum acesso não autorizado a esses dados.
Além disso, foi acionado uma redefinição de senha para clientes afetados, mesmo que apenas uma senha não seja suficiente para acessar uma conta da Coinbase – que conta com e-mails de verificação de dispositivos e mecanismos obrigatórios de 2FAs.
Por fim, a CoinBase ainda lembrou que tem um programa de recompensa dizendo:
“Como lembrete, a Coinbase também mantém um programa ativo de recompensas de bugs no HackerOne, que já pagou mais de um quarto de milhão de dólares até o momento: https://hackerone.com/coinbase . Embora esse bug específico tenha sido descoberto internamente, aceitamos que os pesquisadores de segurança enviem relatórios sempre que acreditarem que podem ter descoberto uma falha em um de nossos sistemas.”