افشای کلیدهای خصوصی کاربران Tangem؛ نقص امنیتی حیاتی برطرف شد

رفع مشکل امنیتی در Tangem Wallet که عبارات بازیابی کاربران را از طریق ایمیل فاش می‌کرد

Tangem، ارائه‌دهنده کیف پول ارزهای دیجیتال، یک آسیب‌پذیری امنیتی حیاتی را در اپلیکیشن موبایل خود برطرف کرده است که می‌توانست کلیدهای خصوصی برخی کاربران را از طریق ایمیل فاش کند. این آسیب‌پذیری پس از بحث‌هایی در Reddit کشف شد که خطرات آن را برای دارایی کاربران برجسته می‌کرد. کاربران Reddit از Tangem به دلیل ارسال کلیدهای خصوصی به حساب‌های ایمیل و دسترسی کارکنان به آنها انتقاد کردند.

در ۲۹ دسامبر، کاربری در Reddit به نام u/areklanga نسبت به این موضوع هشدار داد و ادعا کرد که Tangem به‌موقع به این مسئله رسیدگی نکرده است. آنها مدعی شدند که کلیدهای خصوصی در تاریخچه ایمیل‌ها و احتمالاً در سیستم‌های داخلی Tangem ذخیره شده‌اند. این کاربر همچنین اشاره کرد که یک پست قبلی در Reddit که به این مشکل اشاره داشت، به‌طور مرموزی حذف شده بود.

Tangem در ۳۰ دسامبر این نقص را تأیید کرد و یک به‌روزرسانی برای رفع آن منتشر کرد. در بیانیه‌ای، Tangem به کاربران خود اطمینان داد که این مشکل به‌طور کامل حل شده است. این شرکت گفت: «ما صمیمانه از بازخورد شما در مورد این مسئله قدردانی می‌کنیم و می‌خواهیم به شما اطمینان دهیم که این مشکل به‌طور کامل حل شده است. در Tangem، ما به شفافیت، امنیت و اعتماد اولویت می‌دهیم و مسائل این‌چنینی را بسیار جدی می‌گیریم.»

به گفته Tangem، این آسیب‌پذیری ناشی از یک باگ در سیستم پردازش لاگ‌های اپلیکیشن بود. این نقص گروه محدودی از کاربرانی را تحت تأثیر قرار داد که با استفاده از عبارات بازیابی کیف پول ایجاد کرده و مستقیماً از طریق اپلیکیشن با تیم پشتیبانی تماس گرفته بودند. این لاگ‌ها که شامل کلیدهای خصوصی بودند، برای مدت کوتاهی قابل دسترسی بودند و سپس حذف شدند. این شرکت توضیح داد که کاربرانی که کیف پول خود را بدون عبارات بازیابی فعال کرده‌اند، تحت تأثیر قرار نگرفته‌اند، زیرا کلیدهای خصوصی آنها مستقیماً روی کارت‌های سخت‌افزاری Tangem تولید می‌شود. این شرکت توضیح داد: «کلیدهای خصوصی در این نوع تنظیمات وجود ندارند، بنابراین هیچ‌کس، حتی Tangem، نمی‌تواند آنها را استخراج کند.»

در حالی که تأثیر کلی این مشکل ناچیز بود و کمتر از ۰.۱٪ از کاربران را تحت تأثیر قرار داد، Tangem به جدیت این وضعیت اذعان کرد. «ما به اعتماد شما به Tangem واقف هستیم و کاملاً متعهد به حفظ این اعتماد از طریق رعایت بالاترین استانداردهای امنیت و شفافیت هستیم.» Tangem به سرعت با شناسایی باگ، رفع آن و به‌روزرسانی اپلیکیشن اقدام کرد تا اطمینان حاصل شود که کلیدهای خصوصی تحت هیچ شرایطی لاگ نمی‌شوند.

برای حفاظت بیشتر از کاربران، این شرکت تمام لاگ‌ها و پیوست‌های ارسال شده به تیم پشتیبانی خود را به طور دائمی حذف کرده و پروتکل‌های امنیتی پیشرفته‌ای را برای جلوگیری از بروز مشکلات مشابه در آینده اجرا کرده است. Tangem همچنین به طور مستقیم با کاربران بالقوه تحت تأثیر تماس می‌گیرد و دستورالعمل‌های واضحی برای ایمن‌سازی حساب‌های آنها ارائه می‌دهد. این شرکت از همه کاربران می‌خواهد که برای امنیت بهینه به آخرین نسخه اپلیکیشن Tangem به‌روزرسانی کنند.

علاوه بر این، Tangem به برنامه فعال پاداش باگ خود اشاره کرد که محققان امنیتی و هکرهای اخلاقی را تشویق می‌کند تا آسیب‌پذیری‌های سیستم را شناسایی کنند. Tangem به جامعه کاربران خود اطمینان داد که هیچ کلید خصوصی به خطر نیفتاده، هیچ وجهی از دست نرفته و هیچ دسترسی غیرمجاز به دلیل این باگ رخ نداده است.

علیرغم رفع این مشکل، برخی از اعضای جامعه کریپتو به دلیل عدم شفافیت از Tangem انتقاد کردند. تا ۳۱ دسامبر، این شرکت این مسئله را در شبکه‌های اجتماعی خود از جمله توییتر، دیسکورد یا تلگرام اعلام نکرده بود.