火星链 火星链
Ctrl+D收藏火星链

OIN:Coinbase爆“密码存储漏洞” 但与币安和火币有何不同?

作者:

时间:1900/1/1 0:00:00

金色财经比特币8月18日讯加密货币交易所Coinbase于本周五对外披露了一个潜在漏洞,声称其部分客户密码是以纯文本的形式存储在内部服务器日志中。但是该交易所表示,外部无法以不正当地方式访问这些信息。

在一份事后分析报告中,Coinbase介绍了他们的“密码存储漏洞”,透露目前受到影响的客户数量大约为3500人,而且他们包括密码在内的的个人信息短暂地以明文形式存储在内部日志系统里。

Coinbase解释说:

“在一个非常特殊和罕见的错误情况下,我们注册页面上的注册表面无法正确加载,这意味着在这些条件下尝试创建新Coinbase账户都会失败。不幸的是,在这种情况下个人姓名、电子邮件地址、预设的密码、以及你所居住的州等信息都会被发送到我们的内部日志里。”

FTX将上线Flux(FLUX)和Ravencoin(RVN)永续合约:据官方消息,FTX将于9月12日14:00(UTC)上线Flux(FLUX)和Ravencoin(RVN)永续合约,分别开放FLUX-PERP和RVN-PERP交易对。

Flux通证是Flux生态系统的原生通证,是一套去中心化的计算服务和区块链即服务(blockchain-as-a-service)解决方案,提供一个可互操作、去中心化且相似于AWS的开发环境。

Ravencoin建立在比特币代码的分叉之上,并提供旨在允许个人于该区块链上发行类证券通证(security-like tokens)的额外功能。[2022/9/12 13:23:29]

在3420个实例中,如果潜在客户在第二次尝试注册时使用相同的密码就能注册成功,但会导致他们的密码与公司日志中的加密版本相匹配,Coinbase随后也通过电子邮件告知了这些客户。

Coinbase及Bakkt为亿万富翁Paul Tudor Jones的家族式对冲基金提供了托管服务:金色财经报道,亿万富翁Paul Tudor Jones在2020年5月将自己资产的1%至2%押注于比特币,目前尚不清楚其在哪里或如何购买了加密货币,业界仍然不确定他是否是直接投资。然而,根据向美国证券交易委员会(SEC)提交的新文件,Coinbase托管信托公司、Bakkt信托公司和Tagomi Trading LLC都为Jones的家族式对冲基金提供了托管服务。[2021/4/6 19:48:37]

据悉,由于Coinbase在注册页面上使用React.js服务器端呈现,因此发生了该错误。也就是说,当用户访问该页面注册帐户时,React会帮助显示需要填写的表单。Coinbase补充解释道:

分析 | Coindesk:BTC8个月来首次出现技术指标看涨信号:据coindesk分析,BTC突破了看跌通道、周线MACD出现0轴金叉,表明BTC可能在未来几周有可能冲击7月高点8500美元。在接下来的24小时内,投资者需要密切关注4小时图中的三角旗形态,如未能突破至7500美元或将使多头获利了结,导致BTC转而跌至7000美元。[2018/9/4]

“任何试图注册的用户都需要启用JavaScript,并且需要正确地加载JavaScript。在这种情况下,React会处理表单验证并提交给服务器。但是,如果用户禁用了JavaScript或者他们的浏览器在加载时收到了React.js报错,则会有足够的预呈现HTML,用户可以在上面填写并尝试提交我们的注册表单。”

由于HTML表单“非常基本”,所以没有设置“动作”或“方法”属性。然后在默认情况下,会导致一些浏览器默认其为“GET”状况,并将表单变量编码为日志数据的一部分。为了解决这个问题,Coinbase现在会将默认表单方法切换为“POST”,以确保不再记录数据。

Coinbase之后搜索了“有问题行为”的其他形式,但并没有发现任何问题。Coinbase继续表示:

“我们还在实施其他机制,以检测和防止将来无意中引入此类错误。”

不仅如此,Coinbase还对这个问题做了进一步回应,声称他们追踪了可能存储日志的各个位置,其中包括托管在AmazonWebServices和一些“日志分析服务提供商”上的系统。Coinbase确认:

“对这些日志记录系统的访问进行全面审查之后,我们并未发现任何未经授权访问这些数据的情况,而且对每个系统的访问都是经过严格限制和审核的。”

目前Coinbase已经为受影响的账户重置了密码,并确认如果用户重新登录的话,需要进行双因素身份验证,并补充解释说:

“虽然我们确信我们已经从根本上修复了问题,并且记录的信息没有被不正当地访问,误用或泄露,但我们仍然要求这些客户更改他们的密码,确保做到最佳预防措施。我们还要提醒一件事,就是Coinbase在HackerOne上依然保留了一个活跃的bug赏金计划,迄今已支付了超过25万美元。虽然这个特定错误是内部发现的,但我们依然欢迎安全研究人员在我们某个系统中发现缺陷时提交报告。”

最近,币安和火币都遭遇了数据泄露问题,但与之不同的是,Coinbase并没有失去对客户数据的控制权,包括身份验证文件。

本文编译自coindesk

标签:OINCOINCOIBASEfatcoinMustangCoinDuckyCoinAIChronoBase

以太坊交易热门资讯
GER:分析师:比特币很有可能在2019年底前突破1.3万美元

据Zycrypto报道,比特币自年度高点1.3万美元下跌以来,已多次跌至9000美元左右,有人认为是再次买入的机会.

1900/1/1 0:00:00
WEB:Web 3.0与区块链有什么关系?答案都在这里

当你在家里看《长安十二时辰》的时候,隔壁老王家的某云矿机正在不断地为你传输下一集的视频文件;你为了看这部剧向视频网站支付了15块钱的会员费,老王的矿机靠着给附近的人传文件,一天赚了2毛钱.

1900/1/1 0:00:00
BITG:Bitget永续合约研究院 第四期直播精华回顾

加入官方社群,或关注官方微博,第一时间接收直播信息!Bitget团队2019年8月20日Bitget官方渠道:官方客服微信:Bitget001官方微信公众号:Bitget官方微博:Bitget官.

1900/1/1 0:00:00
TPS:比特国际数字资产平台上线XEQ

尊敬的GJGlobal用户:比特国际数字资产平台创投区即将上线XEQ,并开放XEQ/USDT交易对.

1900/1/1 0:00:00
NCE:赵长鹏:从未说过Binance US将于11月推出

主要加密货币交易所币安首席执行官赵长鹏在推特上称,从未说过该交易所的美国分支BinanceUS将在11月推出.

1900/1/1 0:00:00
BCD:追责趣步背后团队、只差一个维权共识

号称5000万用户的趣步资金盘,已经命悬一线,昨日的狂欢即将幻化成泡影。资金盘的命运从来都是以崩盘的命运而终结,可能会推迟,但是结果已经注定,接替的可能是接下来一场场维权闹剧.

1900/1/1 0:00:00