Ang Tangem, isang crypto wallet provider, kamakailan ay nakahanap ng malaking security risk sa kanilang mobile app na hindi sinasadyang nagko-collect ng private keys ng users sa tuwing may email interactions.
Naayos ito matapos ang paulit-ulit na babala mula sa mga miyembro na nag-express ng concern tungkol sa posibleng security risks. Sinabi nila na ang private keys ng users ay nakokolekta sa pamamagitan ng email interactions sa loob ng Tangem mobile app.
Mga Tangem User, Nahaharap sa Malalaking Security Risks
Noong December 29, isang discussion sa Reddit ang nag-highlight ng potential security vulnerability sa wallet ng Tangem. Ibinunyag ng mga users na ang private keys ay nai-store sa email histories, na posibleng ma-expose sa mga empleyado ng Tangem.
Isang Reddit user na kilala bilang “u/areklanga” ang nag-expose ng vulnerability sa isang forum, na nagdulot ng concern sa community.
“So, ang private keys ng user ay nananatili sa parehong user email history, Tangem email history, at marahil sa ilang Tangem ticket tracking system at available para sa mga empleyado ng Tangem. Na nagiging dahilan para ma-compromise ang lahat ng Tangem users,” sabi ng user dito.
Napansin din ng mga users na ang orihinal na Reddit post na nagdedetalye ng glitch ay misteryosong na-delete, na nagdulot ng suspetsa tungkol sa initial response ng Tangem. Nang ma-validate ang mga concerns na ito, nagpadala ng maraming email ang mga users sa mga empleyado at support ng Tangem.
Samantala, noong December 30, inamin ng Tangem ang isyu at sinabing ito ay dulot ng bug sa log processing function ng mobile app. Naglabas sila ng pahayag na nagsasabing “fully resolved” na nila ang bug.
“Kapag gumagawa ng wallet gamit ang seed phrase, ang private key ay nagkamaling na-log sa application’s logs. Ang mga logs na ito ay maaaring ma-access sa mga interactions sa aming support team,” sabi ng Tangem sa isang pahayag sa Reddit.
Nilinaw ng Tangem na limitado lang ang impact ng bug. Apektado lang nito ang mga users na gumawa ng seed phrase at agad na nag-request ng support. Dagdag pa nila, dinelete na ng Tangem ang lahat ng logs na natanggap ng support team.
Users, Inaakusahan ang Tangem ng Pagbabalewala sa Sitwasyon
Habang mabilis na na-address ng Tangem ang vulnerability, may ilang miyembro ng crypto community na nag-express ng concern tungkol sa communication strategy ng kumpanya. Partikular nilang kinritisismo ang kakulangan ng public announcements tungkol sa vulnerability sa official social media platforms ng Tangem.
“Nakakainis kung paano minamaliit ng Tangem ang saklaw ng event na ito. Habang sinasabi nila na “napakaliit na grupo ng users” lang ang nagpadala ng email kasama ang kanilang keys, gaano karaming users ang may keys na nakasulat sa plain text sa kanilang phones sa isang log file?” sabi ng isang Reddit user.
Sa oras ng pag-publish noong December 31, wala pang official announcements ang Tangem tungkol sa security risk sa kanilang social media channels.
Pinayuhan ng Tangem ang lahat ng users na agad i-update ang kanilang mobile applications sa pinakabagong version para mabawasan ang potential risks na kaugnay ng vulnerability.
Disclaimer
Alinsunod sa mga patakaran ng Trust Project, ang opinion article na ito ay nagpapahayag ng opinyon ng may-akda at maaaring hindi kumakatawan sa mga pananaw ng BeInCrypto. Nananatiling committed ang BeInCrypto sa transparent na pag-uulat at pagpapanatili ng pinakamataas na pamantayan ng journalism. Pinapayuhan ang mga mambabasa na i-verify ang impormasyon sa kanilang sariling kakayahan at kumonsulta sa isang propesyonal bago gumawa ng anumang desisyon base sa nilalamang ito. Paalala rin na ang aming Terms and Conditions, Privacy Policy, at Disclaimers ay na-update na.
