Tangem, un fornitore di wallet crypto, ha recentemente identificato un significativo rischio di sicurezza nella sua app mobile che raccoglieva involontariamente le chiavi private degli utenti durante le interazioni via email.
Questa correzione è seguita a ripetuti avvertimenti da parte dei membri che hanno espresso preoccupazioni sui potenziali rischi di sicurezza. Hanno indicato che le chiavi private degli utenti venivano raccolte tramite interazioni email all’interno dell’app mobile di Tangem.
Gli utenti di Tangem affrontano rischi critici per la sicurezza
Il 29 dicembre, una discussione su Reddit ha evidenziato una potenziale vulnerabilità di sicurezza nel wallet di Tangem. Gli utenti hanno rivelato che le chiavi private venivano memorizzate nelle cronologie email, potenzialmente esponendole ai dipendenti di Tangem.
Un utente di Reddit noto come “u/areklanga” ha esposto la vulnerabilità in un forum, suscitando preoccupazione nella comunità.
“Quindi, le chiavi private degli utenti rimangono sia nella cronologia email degli utenti, sia nella cronologia email di Tangem, e forse in qualche sistema di tracciamento ticket di Tangem e sono disponibili per i dipendenti di Tangem. Il che compromette tutti gli utenti di Tangem,” ha detto l’utente.
Gli utenti hanno anche notato che il post originale su Reddit che descriveva il problema è stato misteriosamente eliminato, sollevando sospetti sulla risposta iniziale di Tangem. Non appena queste preoccupazioni sono state convalidate, gli utenti hanno inondato di email i dipendenti e il supporto di Tangem.
Nel frattempo, il 30 dicembre, Tangem ha riconosciuto il problema e lo ha attribuito a un bug nella funzione di elaborazione dei log dell’app mobile. Hanno rilasciato una dichiarazione confermando di aver “completamente risolto” il bug.
“Quando si crea un wallet con una seed phrase, la chiave privata è stata erroneamente registrata nei log dell’applicazione. Questi log potevano essere successivamente accessibili durante le interazioni con il nostro team di supporto,” ha detto Tangem in una dichiarazione su Reddit.
Tangem ha chiarito che il bug ha avuto un impatto limitato. Ha colpito solo gli utenti che hanno generato una seed phrase e hanno immediatamente fatto una richiesta di supporto. Ha aggiunto che Tangem ha eliminato tutti i log ricevuti dal team di supporto.
Utenti accusano Tangem di minimizzare la situazione
Mentre Tangem ha prontamente affrontato la vulnerabilità, alcuni membri della comunità crypto hanno espresso preoccupazioni sulla strategia di comunicazione dell’azienda. In particolare, hanno criticato la mancanza di annunci pubblici riguardo alla vulnerabilità sui canali social ufficiali di Tangem.
“Trovo frustrante come Tangem stia minimizzando la portata di questo evento. Mentre affermano che solo un “gruppo molto piccolo di utenti” ha inviato un’email con le loro chiavi, quanti utenti hanno avuto le loro chiavi scritte in testo semplice sui loro telefoni in un file di log?” ha detto un utente di Reddit.
Al momento della pubblicazione, il 31 dicembre, Tangem non aveva ancora fatto alcun annuncio ufficiale riguardo al rischio di sicurezza sui suoi canali social.
Tangem ha consigliato a tutti gli utenti di aggiornare immediatamente le loro applicazioni mobili all’ultima versione per mitigare i potenziali rischi associati alla vulnerabilità.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
