Cryptocurrency-lompakko vuotanut käyttäjien Internet-salasanoihin

01.03.2019

Omanissa asuva tietoturvan asiantuntija ilmoitti, että hän löysi haavoittuvuuden cryptocurrencies-palvelussa työskentelevän Coinomi-sähköisen lompakon töissä. Suorittamalla oman tutkimuksensa, tietojenkäsittelytieteen tutkijan, se johtui siitä, että noin 70 tuhatta dollaria eri cryptocurrenciesissa varastettiin hänen tililtäan. Ennen kaikkea asiantuntija oli raivostunut siitä, että varastetun määrän osuus oli 90% hänen tililleen tallennetuista varoista. Mikä oli uhrin yllätys, kun tuli selväksi, kuinka vastuuton Coinomin huoltohenkilöstö on heidän tehtävissään. Kuten kävi ilmi, joka kerta, kun salasana annettiin, salausasiakas lähettää asiakkaan salasanan oikeinkirjoittajalle selkeästi ilman, että se häiritsee sitä suojata.

Paljastuneen haavoittuvuuden syy oli, että lompakkoa käyttävä sovellus luotiin siten, että se liittyi suoraan Googlen toimintoihin, mukaan lukien ne, jotka tarjoavat automaattisen oikeinkirjoituksen. Todennäköisesti sovelluksen luojat eivät yksinkertaisesti pitäneet tarpeellisena poistaa tätä ominaisuutta tai unohtaa. Tämän seurauksena käyttäjätunnukset, mukaan lukien asiakastunnukset, olivat suoraan saatavilla. Tämän virheen seurauksena kuka tahansa, jopa aloittelija hakkeri tai Googlen työntekijä, sai mahdollisuuden vastaanottaa salauksen, joka suojaa cryptocurrency-lompakkoa salaamattomassa muodossa. Tämän yksinkertaisen pääsyn avulla voit varastaa minkä tahansa määrän lompakosta.

Samaan aikaan loukkaantunut asiantuntija ei väitä, että juuri tämä haavoittuvuus aiheutti varojen varastamisen hänen tililtäan, mutta väittää, että rahat menetettiin vain Coinomi-lompakosta, kun taas muissa tileissä hänen kolikoidensa pysyivät täysin turvallinen. Tämän lisäksi hän totesi, että hän ei paljastanut salasanojaan kenellekään, joten hänellä ei ole aavistustakaan siitä, kuinka petokset voisivat avata tilin, jos poistat havaitun vaihtoehdon.

On syytä huomata, että ryöstetty asiantuntija, erityisesti tällä kertaa, loi erillisen verkkosivuston, jossa hän kommunikoi muiden lompakon asiakkaiden kanssa ja muiden käyttäjien kanssa, ja hän pyysi heitä olemaan ottamatta yhteyttä Coinomiin. Lisäksi hänen sivullaan hän kertoi, että hän oli toistuvasti pyrkinyt ottamaan yhteyttä palvelun edustajiin voidakseen ilmoittaa heille olemassa olevasta uhasta. Hänen mukaansa mikään salakirjoituksen lompakon edustajista ei ollut yhteydessä hänen kanssaan tässä yhteydessä. Trustnodes-julkaisuissa puolestaan ilmestyi palvelun kehittäjiltä viesti, jonka mukaan he ottivat yhteyttä asianomaiseen IT-asiantuntijaan ja korjaivat ongelman.

Tutkija, tämä viesti ei puolestaan ole tyytyväinen, ja hän julkaisi videon, jossa osoitti, kuinka haavoittuvuus sallii salaisen tiedon tarttumisen. Toinen asiantuntija, Luke Childs, joka työskenteli tietoturvan alalla, joka tarkasti virheen ja vahvisti sen aitouden, liittyi hänen raportteihinsa. Childs totesi myös, että se ei ollut ensimmäinen kerta, kun hän joutui kohtaamaan samanlaisia ongelmia kuin Coinomi. Hän sanoi erityisesti, että vuonna 2016 hänen oli jo löydettävä puutteita tämän palvelun tietojen suojaamisessa, kun hän työskenteli Android-laitteiden version kanssa. Hänen mukaansa jopa epäonnistumisen syy oli juuri tällainen virhe. Kehittäjien puoleen hän huomasi, että he eivät halunneet myöntää virheen läsnäoloa ja kieltäytyivät tunnustamasta, että samanlainen ongelma oli olemassa. Lisäksi he jopa poistivat Childsin jättämän viestin, jonka hän julkaisi virallisella verkkosivustollaan. Niinpä molemmat asiantuntijat, jotka kehottavat käyttäjiä ajattelemaan, ennen kuin käyttävät resursseja, jotka ovat vaarantaneet itsensä niin paljon vastuuttomasta asenteestaan suoriin velvollisuuksiinsa.

Kommentit

Ei vielä kommentteja

Kirjoita kommentti