加密货币交易所 Coinbase 日前披露一项潜在漏洞称,部分用户的账号密码以纯文字的信息被储存在内容记录系统中,受影响人数初步统计达 3,420 名潜在用户,所幸的是,这些信息并未被外界不正当访问。
CoinDesk 释出事后分析报告称,“非常特殊和罕见的错误情况下,我们的注册表格无法正常加载,这意味着在这些条件下尝试注册的新账户都将失败,这也意味着用户的姓名、电邮地址及其所提交的密码(如在美国则包含居住州)将被发送到我们的内部记录系统”。
官方表示,若用户在二次尝试注册新账号时使用相同的密码,虽可注册成功,但这也将导致这些密码与公司记录系统中的散列版本相匹配。
报告指出,由于 Coinbase 在注册页面上使用 React.js 服务端呈现,所以才会产生漏洞。换言之,当用户尝试注册账户时,React 将帮助显示资料填写表单。Coinbase 补充解释,“任何试图注册的用户都必须启用并以正确的方式加载 JavaScript,在这种情况下,React 将会协助用户处理表单验证并提交给服务器。但是,在用户禁用 JavaScript 或浏览器加载时收到 React.js 报错的情况下,却同样会呈现预载的 HTML 页面,让用户不以为意,继续填写个人资料并尝试提交注册表单。”
正常情况下,标准的 HTML 表单皆由 标签,两个标签之间就是放置表单元素的地方,form 会将网友填完的资料,传送至“action”所设定的资料传送目的地;而“method”是资料传递的方式,有 get 与 post 两种方式。
Coinbase 表示,由于没有设置到“action”和“method”的属性,因此在默认的情况下,会导致部分浏览器将资料传递方式设为“get”,意味着表单中的数据将被编码成记录系统的一部分。
为了解决这个问题,Coinbase 现已将默认表单方法切换为“post”,以确保系统不再记录用户数据,同时要求受影响的用户重置密码,并在登入时启用双重身份验证。此外,Coinbase 表示,“我们还在实施其他机制,以利检测和预防任何潜在疏漏”。
Coinbase 还提到,团队已追踪到可能存储用户数据的各个位置,并进行全面审查,目前尚未发现任何未经授权的侵入。
该交易所最后提醒道,“Coinbase 长期以来都在 HackerOne 上经营著一个活跃的漏洞赏金计划,迄今已支付超过 25 万美元。虽然这次的漏洞是由内部团队所发现,但仍我们欢迎外界安全研究人员能在他们系统中发现漏洞时,及时向我们通报错误。”
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
