Coinbase爆“密码存储漏洞” 但与币安和火币有何不同？

金色财经比特币8月18日讯加密货币交易所Coinbase于本周五对外披露了一个潜在漏洞，声称其部分客户密码是以纯文本的形式存储在内部服务器日志中。但是该交易所表示，外部无法以不正当地方式访问这些信息。

在一份事后分析报告中，Coinbase介绍了他们的“密码存储漏洞”，透露目前受到影响的客户数量大约为3500人，而且他们包括密码在内的的个人信息短暂地以明文形式存储在内部日志系统里。

Coinbase解释说：

“在一个非常特殊和罕见的错误情况下，我们注册页面上的注册表面无法正确加载，这意味着在这些条件下尝试创建新Coinbase账户都会失败。不幸的是，在这种情况下个人姓名、电子邮件地址、预设的密码、以及你所居住的州等信息都会被发送到我们的内部日志里。”

Altered State Machine完成种子轮融资，Coinbase Ventures等参投:3月10日消息，AI 元宇宙平台 Altered State Machine 宣布完成种子轮融资，融资金额未公布，参投方包括 TCG、华纳音乐集团、Coinbase Ventures 等 17 家机构。Altered State Machine（ASM）旨在创建一个将人工智能（AI）应用于元宇宙的平台，目前 ASM 的机器学习协议已经为 AIFA 联盟和 FLUF World 提供支持，本轮融资将用于开拓更多合作。[2022/3/10 13:48:03]

在3420个实例中，如果潜在客户在第二次尝试注册时使用相同的密码就能注册成功，但会导致他们的密码与公司日志中的加密版本相匹配，Coinbase随后也通过电子邮件告知了这些客户。

Lossless(LSS)登陆KuCoin第十期BurningDrop:据 KuCoin (库币) 交易所消息，KuCoin于5月28日18点开启第十期BurningDrop，用户可通过质押 USDT/KCS/ETH参与，本次BurningDrop总奖励为650,000个 LSS，已参与质押的用户还可以通过燃烧DAO代币来提升分发算力，获得更多LSS。Losless致力于使加密投资变得更安全。据悉，KuCoin上一期BurningDrop项目XCAD开盘上涨7010%。[2021/5/27 22:50:10]

据悉，由于Coinbase在注册页面上使用React.js服务器端呈现，因此发生了该错误。也就是说，当用户访问该页面注册帐户时，React会帮助显示需要填写的表单。Coinbase补充解释道：

分析师：Circle、Tzero、coinbase都是CHX的潜在收购者:英国格林威治协会分析师Richard Johnson认为，当前多国正在加强数字货币监管，未来数字货币交易将需要符合证券法规，因此像芝加哥证券交易所（CHX）拥有的交易许可证将成为数字货币交易的潜在价值资产。如果CHX允许被收购，那么Circle、Tzero、coinbase这类数字货币集团都会成为其强有力的潜在收购者。据了解，此前美国证券交易委员会因担心拟议的所有权结构而阻止芝加哥证券交易所（CHX）出售给中国财团；Circle则于本周斥资4亿美元收购数字货币交易所Poloniex。[2018/3/5]

“任何试图注册的用户都需要启用JavaScript，并且需要正确地加载JavaScript。在这种情况下，React会处理表单验证并提交给服务器。但是，如果用户禁用了JavaScript或者他们的浏览器在加载时收到了React.js报错，则会有足够的预呈现HTML，用户可以在上面填写并尝试提交我们的注册表单。”

由于HTML表单“非常基本”，所以没有设置“动作”或“方法”属性。然后在默认情况下，会导致一些浏览器默认其为“GET”状况，并将表单变量编码为日志数据的一部分。为了解决这个问题，Coinbase现在会将默认表单方法切换为“POST”，以确保不再记录数据。

Coinbase之后搜索了“有问题行为”的其他形式，但并没有发现任何问题。Coinbase继续表示：

“我们还在实施其他机制，以检测和防止将来无意中引入此类错误。”

不仅如此，Coinbase还对这个问题做了进一步回应，声称他们追踪了可能存储日志的各个位置，其中包括托管在AmazonWebServices和一些“日志分析服务提供商”上的系统。Coinbase确认：

“对这些日志记录系统的访问进行全面审查之后，我们并未发现任何未经授权访问这些数据的情况，而且对每个系统的访问都是经过严格限制和审核的。”

目前Coinbase已经为受影响的账户重置了密码，并确认如果用户重新登录的话，需要进行双因素身份验证，并补充解释说：

“虽然我们确信我们已经从根本上修复了问题，并且记录的信息没有被不正当地访问，误用或泄露，但我们仍然要求这些客户更改他们的密码，确保做到最佳预防措施。我们还要提醒一件事，就是Coinbase在HackerOne上依然保留了一个活跃的bug赏金计划，迄今已支付了超过25万美元。虽然这个特定错误是内部发现的，但我们依然欢迎安全研究人员在我们某个系统中发现缺陷时提交报告。”

最近，币安和火币都遭遇了数据泄露问题，但与之不同的是，Coinbase并没有失去对客户数据的控制权，包括身份验证文件。

本文编译自coindesk

标签：COICOINOINcoinbaseWCOINMasternode Hype Coin Exchangecoinbullcoinbasewallet钱包下载

PEPE热门资讯