Coinbase : un bug des mots de passe affecte 3420 utilisateurs
L'exchange Coinbase a indiqué qu'une faible partie des mots de passe de ses clients était stockée en texte clair sur un des registres internes de son serveur Web. La faille a été révélée par l'entreprise elle-même sur leur blog le 17 août.
Rien n'a été compromis
Coinbase a déclaré que la cause profonde du bug a été corrigée et que les données stockées n'ont pas été « piratées, mal utilisées, ou compromises ». Les 3 420 clients concernés ont immédiatement été informés par mail et ont dû changer leur mot de passe.
Certaines informations d'identification des utilisateurs auraient été sauvegardées même lorsqu'une erreur d'inscription leur avait été signalée. Bien que leur inscription ait été refusée, leurs renseignements, y compris leur nom d'utilisateur, leur adresse électronique, leur lieu de résidence aux États-Unis et leur mot de passe, avaient été conservés et visibles en clair directement sur les serveurs.
Coinbase a précisé qu'ils avaient déjà tracé les différents endroits où ces informations pouvaient être stockées, y compris pour les systèmes hébergés sur Amazon Web Services et chez quelques autres fournisseurs de services. L'entreprise a précisé :
“ Un examen approfondi de l'accès à ces systèmes d'enregistrement n'a révélé aucun accès non autorisé à ces données.”
Coinbase toujours à la recherche de failles
À la suite de cet événement, l'équipe de sécurité informatique de l'exchange a également cherché d'autres bugs supplémentaires de ce type et n'en a trouvé aucun. De plus, bien que la faille ait été découverte en interne, Coinbase maintient un programme actif de « bounty hunting » sur HackerOne, qui a jusqu'à présent récompensé des « white hat hackers » avec plus de 250 000 dollars :
“ Bien que ce bug particulier ait été découvert en interne, nous invitons les chercheurs en sécurité à soumettre des rapports chaque fois qu'ils croient avoir découvert une faille dans un de nos systèmes.”
La révélation de Coinbase fait suite à celle de Binance et Huobi, qui ont été victimes de brèches au niveau de leurs données utilisateurs. Contrairement à Coinbase, Binance et Huobi semblent avoir perdu le contrôle d'une partie des données de vérification de ses clients (KYC).
La semaine dernière, Coinbase a étendu son activité de gestion, Coinbase Custody, avec l'acquisition récente du wallet Xapo et de ses services industriels. Cette acquisition en cours a fait grimper les actifs de Coinbase pour un montant de 7 milliards de dollars sous la supervision de la société. Coinbase Custody est aujourd'hui le plus grand gestionnaire de crypto-actifs sous administration dans le monde, avec 120 clients dans 14 pays différents.