明文形式存入日志 Coinbase爆「外资投资股票」暗码存储裂痕

时间:2019-08-28 03:27 浏览:

加密钱币生意业务所Coinbase于8月16日对外披露了一个潜在裂痕,声称其部门客户暗码是以纯文本的形式存储在内部处事器日志中。可是该生意业务所暗示,外部无法以不正本处所式会见这些信息。

在一份过后阐发陈诉中,Coinbase先容了他们的“暗码存储裂痕”,透露今朝受到影响的客户数量约莫为3500人(Coinbase的全球客户量高出3000万),并且他们包罗暗码在内的的小我私家书息短暂地以明文形式存储在内部日志系统里。

Coinbase表明说:

“在一个很是非凡和稀有的错误环境下,我们注册页面上的注册外貌无法正确加载,这意味着在这些条件下实验建设新Coinbase账户城市失败。不幸的是,在这种环境下小我私家姓名、电子邮件地点、预设的暗码、以及你所居住的州(假如在美国的话)等信息城市被发送到我们的内部日志里。”

在3420个实例中,假如潜在客户在第二次实验注册时利用沟通的暗码就能注册乐成,但会导致他们的暗码与公司日志中的加密版内情匹配,Coinbase随后也通过电子邮件奉告了这些客户。

据悉,由于Coinbase在注册页面上利用React.js处事器端泛起,因此产生了该错误。也就是说,当用户会见该页面注册帐户时,React会辅佐显示需要填写的表单。Coinbase增补表明道:

“任何试图注册的用户都需要启用JavaScript,而且需要正确地加载JavaScript。在这种环境下,React会处理惩罚表单验证并提交给处事器。可是,假如用户禁用了JavaScript可能他们的欣赏器在加载时收到了React.js报错,则会有足够的预泛起HTML,用户可以在上面填写并实验提交我们的注册表单。”

由于HTML表单“很是根基”,所以没有配置“行动”或“方法”属性。然后在默认环境下,会导致一些欣赏器默认其为“GET”状况,并将表单变量编码为日志数据的一部门。为了办理这个问题,Coinbase此刻会将默认表单方法切换为“POST”,以确保不再记录数据。

Coinbase之后搜索了“有问题行为”的其他形式,但并没有发明任何问题。Coinbase继承暗示:

“我们还在实施其他机制,以检测和防备未来无意中引入此类错误。”

不只如此,Coinbase还对这个问题做了进一步回应,声称他们追踪了大概存储日志的各个位置,个中包罗托管在亚马逊Amazon Web Services和一些“日志阐发处事提供商”上的系统。Coinbase确认:

“对这些日志记录系统的会见举办全面审查之后,我们并未发明任何未经授权会见这些数据的环境,并且对每个系统的会见都是颠末严格限制和审核的。”

今朝Coinbase已经为受影响的账户重置了暗码,并确认假如用户从头登录的话,需要举办双因素身份验证,并增补表明说:

“固然我们确信我们已经从基础上修复了问题,而且记录的信息没有被不正内地会见,误用或泄露,但我们仍然要求这些客户变动他们的暗码,确保做到最佳防范法子。我们还要提醒一件事,就是Coinbase在HackerOne上依然保存了一个活泼的Bug赏金打算,迄今已付出了高出25万美元。固然这个特定错误是内部发明的,但我们依然接待安详研究人员在我们某个系统中发明缺陷时提交陈诉。”

最近,币安和火币都遭遇了数据泄露问题,但与之差异的是,Coinbase并没有失去对客户数据的节制权,包罗身份验证文件。

明文形式存入日志 Coinbase爆暗码存储裂痕

2019年8月19日 区块链资讯 0

加密钱币生意业务所Coinbase于8月16日对外披露了一个潜在裂痕,声称其部门客户暗码是以纯文本的形式存储在内部处事器日志中。可是该生意业务所暗示,外部无法以不正本处所式会见这些信息。

在一份过后阐发陈诉中,Coinbase先容了他们的“暗码存储裂痕”,透露今朝受到影响的客户数量约莫为3500人(Coinbase的全球客户量高出3000万),并且他们包罗暗码在内的的小我私家书息短暂地以明文形式存储在内部日志系统里。

Coinbase表明说:

“在一个很是非凡和稀有的错误环境下,我们注册页面上的注册外貌无法正确加载,这意味着在这些条件下实验建设新Coinbase账户城市失败。不幸的是,在这种环境下小我私家姓名、电子邮件地点、预设的暗码、以及你所居住的州(假如在美国的话)等信息城市被发送到我们的内部日志里。”

在3420个实例中,假如潜在客户在第二次实验注册时利用沟通的暗码就能注册乐成,但会导致他们的暗码与公司日志中的加密版内情匹配,Coinbase随后也通过电子邮件奉告了这些客户。

据悉,由于Coinbase在注册页面上利用React.js处事器端泛起,因此产生了该错误。也就是说,当用户会见该页面注册帐户时,React会辅佐显示需要填写的表单。Coinbase增补表明道:

上一篇:互联网时代的书店,区块链时代的「股票被关最坏是什么」影戏院
下一篇:中共中央、国务院意见:支持在深圳开展数字钱币研究与移动付出等创新应用 C「专业股票配资平台」CN:疑似“中本聪”将
热门排行

Copyright @ 2011-2019 合共赢股票配资网

备案号:豫ICP备17018896号-1 商务联系QQ:1061066652