Tangem, een crypto wallet provider, heeft onlangs een aanzienlijk beveiligingsrisico in zijn mobiele app geïdentificeerd dat per ongeluk de privé sleutels van gebruikers verzamelde tijdens e-mailinteracties.
Deze oplossing volgde op herhaalde waarschuwingen van leden die bezorgd waren over de mogelijke beveiligingsrisico’s. Ze gaven aan dat de privé sleutels van gebruikers werden verzameld via e-mailinteracties binnen de Tangem mobiele app.
Tangem gebruikers lopen kritieke beveiligingsrisico’s
Op 29 december werd in een discussie op Reddit een mogelijke beveiligingskwetsbaarheid in Tangem’s wallet belicht. Gebruikers onthulden dat privé sleutels werden opgeslagen in e-mailgeschiedenissen, waardoor ze mogelijk blootgesteld werden aan Tangem-medewerkers.
Een Reddit-gebruiker bekend als “u/areklanga” onthulde de kwetsbaarheid in een forum, wat tot bezorgdheid in de gemeenschap leidde.
“Dus, privé sleutels van gebruikers blijven zowel in de e-mailgeschiedenis van de gebruiker, de e-mailgeschiedenis van Tangem, en misschien in een Tangem ticketvolgsysteem en zijn beschikbaar voor Tangem-medewerkers. Dit maakt alle Tangem-gebruikers gecompromitteerd,” zei de gebruiker.
Gebruikers merkten ook op dat de oorspronkelijke Reddit-post die de fout beschreef op mysterieuze wijze was verwijderd, wat wantrouwen wekte over de eerste reactie van Tangem. Zodra deze zorgen werden bevestigd, overspoelden gebruikers Tangem-medewerkers en de ondersteuning via e-mail.
Ondertussen erkende Tangem op 30 december het probleem en schreef het toe aan een bug in de logverwerkingsfunctie van de mobiele app. Ze gaven een verklaring af waarin ze bevestigden dat ze de bug “volledig hadden opgelost”.
“Bij het aanmaken van een wallet met een herstelzin werd de privé sleutel per ongeluk gelogd in de logs van de applicatie. Deze logs konden later worden benaderd tijdens interacties met ons ondersteuningsteam,” zei Tangem in een verklaring op Reddit.
Tangem verduidelijkte dat de bug een beperkte impact had. Het trof alleen gebruikers die een herstelzin genereerden en onmiddellijk een ondersteuningsverzoek deden. Ze voegden eraan toe dat Tangem alle logs die door het ondersteuningsteam waren ontvangen, had verwijderd.
Gebruikers beschuldigen Tangem van bagatelliseren situatie
Hoewel Tangem snel de kwetsbaarheid aanpakte, uitten sommige leden van de crypto gemeenschap zorgen over de communicatiestrategie van het bedrijf. Ze bekritiseerden met name het gebrek aan openbare aankondigingen over de kwetsbaarheid op de officiële sociale mediaplatforms van Tangem.
“Ik vind het frustrerend hoe Tangem de omvang van dit evenement bagatelliseert. Terwijl ze beweren dat slechts een “zeer kleine groep gebruikers” een e-mail met hun sleutels heeft gestuurd, hoeveel gebruikers hadden hun sleutels in platte tekst op hun telefoons in een logbestand geschreven?” zei een Reddit-gebruiker.
Op het moment van publicatie op 31 december had Tangem nog geen officiële aankondigingen gedaan met betrekking tot het beveiligingsrisico op zijn sociale mediakanalen.
Tangem adviseerde alle gebruikers om hun mobiele applicaties onmiddellijk bij te werken naar de nieuwste versie om mogelijke risico’s geassocieerd met de kwetsbaarheid te verminderen.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
