Tangem, un fornitore di portafogli crittografici, ha recentemente identificato un significativo rischio per la sicurezza nella sua app mobile che raccoglieva inavvertitamente le chiavi private degli utenti durante le interazioni via email.
Questa correzione ha fatto seguito a ripetuti avvertimenti da parte dei membri che hanno espresso preoccupazione sui potenziali rischi per la sicurezza. Hanno indicato che le chiavi private degli utenti venivano raccolte tramite interazioni e-mail all'interno dell'app mobile Tangem.
Gli utenti di Tangem devono affrontare rischi critici per la sicurezza
Il 29 dicembre, una discussione su Reddit ha evidenziato una potenziale vulnerabilità di sicurezza nel portafoglio di Tangem . Gli utenti hanno rivelato che le chiavi private venivano archiviate nelle cronologie delle e-mail, esponendole potenzialmente ai dipendenti Tangem.
Un utente Reddit noto come "u/areklanga" ha esposto la vulnerabilità in un forum, suscitando preoccupazione nella comunità.
“Quindi, le chiavi private dell'utente rimangono sia nella cronologia delle e-mail dell'utente, nella cronologia delle e-mail di Tangem e forse in qualche sistema di tracciamento dei ticket Tangem e sono disponibili per i dipendenti Tangen. Il che rende compromessi tutti gli utenti di Tangem", ha affermato l'utente.
Gli utenti hanno anche notato che il post originale di Reddit che descriveva in dettaglio il problema tecnico è stato misteriosamente cancellato, sollevando sospetti sulla risposta iniziale di Tangem. Non appena queste preoccupazioni sono state confermate, gli utenti hanno inondato i dipendenti di Tangem e il supporto tramite e-mail.
Nel frattempo, il 30 dicembre, Tangem ha riconosciuto il problema e lo ha attribuito a un bug nella funzione di elaborazione dei registri dell'app mobile. Hanno rilasciato una dichiarazione confermando di aver “risolto completamente” il bug.
“Quando si creava un portafoglio con una frase seed, la chiave privata veniva erroneamente registrata nei log dell'applicazione. È possibile accedere successivamente a questi registri durante le interazioni con il nostro team di supporto", ha affermato Tangem in una dichiarazione su Reddit.
Tangem ha chiarito che il bug ha avuto un impatto limitato. Ha interessato solo gli utenti che hanno generato una frase seed e hanno immediatamente effettuato una richiesta di supporto. Ha aggiunto che Tangem ha cancellato tutti i registri ricevuti dal team di supporto.
Gli utenti accusano Tangem di minimizzare la situazione
Mentre Tangem ha prontamente affrontato la vulnerabilità , alcuni membri della comunità crypto hanno espresso preoccupazione per la strategia di comunicazione dell'azienda. Nello specifico, hanno criticato la mancanza di annunci pubblici riguardo alla vulnerabilità sulle piattaforme di social media ufficiali di Tangem.
“Trovo frustrante il modo in cui Tangem stia minimizzando la portata di questo evento. Sebbene affermino che solo un "gruppo molto piccolo di utenti" ha inviato un'e-mail con le proprie chiavi, quanti utenti avevano le loro chiavi scritte in chiaro sui loro telefoni in un file di registro? ha detto un utente Reddit.
Al momento della pubblicazione, il 31 dicembre, Tangem non aveva ancora fatto alcun annuncio ufficiale in merito al rischio per la sicurezza sui suoi canali di social media.
Tangem ha consigliato a tutti gli utenti di aggiornare immediatamente le proprie applicazioni mobili all'ultima versione per mitigare i potenziali rischi associati alla vulnerabilità .
Il post Tangem risolve il problema della sicurezza dopo il contraccolpo della comunità è apparso per la prima volta su BeInCrypto .