Подробности
Опубликовано: 28 Февраль 2019
Кошелек Coinomi использовал Google API для проверки правописания seed-фраз пользователей. Один из клиентов кошелька по этой причине лишился криптовалюты на $70000.
В популярном криптокошельке Coinomi обнаружили уязвимость, которая привела к утечке персональных данных и краже криптовалюты. Один из пользователей заметил пропажу криптовалюты с одного из своих кошельков стоимостью около $70 000. Он отследил запросы, которые делало приложение, и выяснил, что кошелек Coinomi проверял правописание seed-фразы с помощью Google API. Это происходило в тот момент, когда юзер вводил кодовую фразу в поле восстановления кошелька. Его seed-фраза отправлялась как обычный текст на googleapis.com для проверки правописания.
По всей видимости, мошенники обнаружили эту уязвимость и смогли найти нужную информацию о seed-фразах на серверах Google.
Пользователи в соцсетях тут же распространили исходное сообщение, в котором расказывалось и даже показывалось на видео, как происходит проверка правописания, и отметили нелепость такого бага.
«Это не шутка!» — написал один из твиттер-юзеров.
SECURITY [email protected] sends your plain text seed phrase to Googles remote spellchecker API when you enter it! This is not a joke!
Video attached for proof.
Credit goes to @warith2020 for finding the issue, read more from him here: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Luke Childs (@lukechilds) 27 февраля 2019 г.
В Coinomi подтвердили наличие такого бага и сообщили, что функция проверки орфографии с помощью Google API была включена только для десктопных приложений и не касалась мобильных приложений. Команда Coinomi уточнила, что seed-фраза не передавалась в виде простого текста, а была заключена в https-запрос и отправлялась исключительно в адрес Google. Помимо этого, seed-фраза передавалась только при восстановлении доступа к криптокошельку через десктопное приложение.
«Наши инженеры выяснили причину этой проблемы, которая заключалась не в ошибки нашего исходного кода, а в неправильной конфигурации опций плагина, используемом только в десктопных кошельках. Этот плагин по умолчанию включал функцию проверки орфографии в недавном обновлении и был исправлен командой плагинов jxBrowser всего 6 дней назад. В тот же день с нами связался Варит Аль-Маавали [пользователь, потерявший криптовалюту]. Все версии десктопных приложений были исправлены сразу после того, как мы получили полное описание проблемы», — говорится в сообщении Coinomi.
Coinomi уточнила, что идентифицировала адреса, на которые была отправлена криптовалюта пострадавшего пользователя, и что они были добавлены в «черный список», что затруднит мошенникам ее обмен на биржах.
Coinomi призвали пользователей десктопных приложений обновиться до последней версии, в которую были внесены исправления.
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.
Сегодня тема блокчейна – это целая идеология и…
PrimeXBT – платформа международного уровня, одна из ведущих…
Мнение: биткоин-фьючерсы угрожают всей банковской системе Подробности Опубликовано:…
“Массачусетский технологический институт (МИТ, — прим. ред.) выпустил…
PrimeXBT — криптовалютная биржа для маржинальной торговли, где…
Согласно данным CoinMarketCap стоимость криптовалюты DATAcoin находится на уровне 0,064…
Новая версия клиента Bitcoin Core, опубликованная 15-го февраля,…
Брэм Коэн (Bram Cohen), создатель знаменитого протокола файлообмена…
Разработчики Bitcoin Gold сообщили вчера в официальном блоге, что…
Еще не утихли страсти и пляски биржевых курсов…
Крупнейшая экономика Евросоюза наконец отреагировала на развивающийся во…
Майнинг на видеокартах не теряет своей актуальности, особенно…