Condividi questo articolo
Coinbase nega le segnalazioni di violazione dei dati, affronta i problemi di sicurezza
Coinbase ha risposto alle accuse secondo cui il suo servizio presenta una falla che espone gli utenti a frodi e spam.
Di Pete Rizzo
Il fornitore di portafogli Bitcoin con sede a San Francisco, Coinbase, ha risposto formalmente alle preoccupazioni della comunità in merito a una funzione di progettazione del suo servizio "Request Money" il 1° aprile, in seguito ad alcune segnalazioni che suggerivano che tale servizio potrebbe essere utilizzato in modo improprio da phisher e truffatori.
La risposta è stata rilasciata dopo che è emersa una voce di Pastebin che suggeriva che circa 2.000Nomi e indirizzi email dei clienti Coinbasesono stati compromessi nell'ambito di una "violazione dei dati" del sito, voci che hanno suscitato diffuse speculazioni su Reddit e sui social media.
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Daybook Americas oggi. Vedi tutte le newsletter
Parlando con CoinDesk, la società ha chiarito che, sebbene alcune informazioni personali degli utenti siano state pubblicate online, l'evento non è stato una violazione dei dati, ma piuttosto uno sfruttamento di una funzionalità comune ai servizi tecnologici più diffusi. Gli utenti malintenzionati, ha osservato, possono utilizzare un indirizzo e-mail per determinare se qualcuno ha un account su altri servizi di pagamento come PayPal, Square Cash e Venmo, un processo chiamato enumerazione e-mail.
Ha scritto l'aziendanella sua risposta ufficiale:
"Sebbene riteniamo che questo tipo di attività di spam e di enumerazione degli utenti T rappresenti un rischio significativo per i clienti di Coinbase, siamo pienamente consapevoli che può rappresentare un inconveniente e causare confusione".
La funzionalità Request Money di Coinbase consente agli utenti di Request fondi inserendo un indirizzo e-mail. Se il destinatario è un utente Coinbase, il sito Web genera un'e-mail di risposta completa di nome e cognome dell'individuo, a condizione che abbia utilizzato il suo vero nome per registrarsi al servizio.
Coinbase non richiede ai propri utenti di fornire nomi reali e indica nella sua Politiche Privacy che rende tali informazioni disponibili.
Tuttavia, almeno ONE responsabile della sicurezza ha espresso preoccupazione per il fatto che tali informazioni potrebbero essere utilizzate da malintenzionati per commettere frodi più gravi.
Origine della controversia
Questa funzionalità è stata portata alla luce nella comunità Bitcoin dal ricercatore di sicurezza australiano Shubham Shah, che ha pubblicato le sue frustrazionisul suo blog. Quel post descriveva in dettaglio un processo passo dopo passo su come condurre l'enumerazione delle email usando Coinbase, e si scagliava contro l'azienda per non aver preso misure per rispondere alle sue preoccupazioni.
Coinbase ha esaminato il "difetto di progettazione" come presentato da Shah, ma lo ha informato che non avrebbe cercato di implementare una correzione o di emettere una ricompensa per la scoperta. Pertanto, ha deciso di pubblicare la richiesta sul suo blog.
Secondo una cronologia pubblicata da Shah, lo sviluppatore ha contattato Coinbase per la prima volta il 28 febbraio. La comunicazione faceva parte di una serie di corrispondenze che si sono concluse il 31 marzo, quando Shah indica che Coinbase ha confermato di aver chiuso il suo bug report.
Parlando con CoinDesk, Shah ha dichiarato che, in quanto ricercatore di sicurezza, sentiva la responsabilità di portare il problema alla comunità in modo che potesse essere affrontato. Inoltre, ha affermato di non essere affiliato alla successiva pubblicazione di PasteBin di nomi e indirizzi e-mail dei clienti.
La risposta di Coinbase
Il post del blog di Coinbase ha spiegato che, nonostante le affermazioni che circolano online, la funzionalità di progettazione era intenzionale e mirava ad aumentare l'usabilità del suo servizio. Inoltre, ha affermato che non implementare un limite al numero di e-mail che possono essere generate tramite il suo servizio serve a un caso d'uso specifico.
Coinbase ha affermato:
"Consentire la fatturazione degli elenchi è una funzionalità CORE del nostro servizio, ed è stata volutamente integrata nella nostra API."
In un messaggio datato 31 marzo, un rappresentante di Coinbase ha offerto la valutazione interna dell'azienda a Shah tramiteHacker Uno, un'organizzazione online di esperti di sicurezza che coordina le ricompense per gli hacker che contribuiscono a rendere Internet più sicuro.
"Non consideriamo i bug di esistenza dell'account come abbastanza gravi per il nostro ambito. Questo comportamento è per lo più informativo per un aggressore e non aumenta direttamente il rischio in modo significativo. Potremmo prendere in considerazione l'aggiornamento di questo comportamento in futuro, ma non riteniamo che giustifichi una ricompensa."
Il rappresentante ha spiegato che consentire la fatturazione degli elenchi era un aspetto fondamentale del suo servizio e che "non sarebbe stato più efficace dei metodi di phishing più tradizionali, alla cui prevenzione dedichiamo molto tempo".
Attacchi improbabili
Nel suo post sul blog, Coinbase ha indicato che solo una piccolissima quantità di utenti, meno dello 0,5%, è stata nominata nel post sui dati utente di oggi. Inoltre, ha continuato a descrivere perché ritiene che tali attacchi siano incredibilmente improbabili.
Coinbase ha affermato: "È probabile che questa lista di email provenga da altri siti, probabilmente correlati a Bitcoin".
L'azienda ha affermato che gli utenti malintenzionati dovranno prima acquisire indirizzi email, che T sono disponibili pubblicamente online, e poi inviare denaro ai destinatari che, a loro volta, dovranno scegliere di inviare denaro a utenti sconosciuti.
Shah ha affermato che il difetto di progettazione è importante a causa della natura stessa della progettazione di Bitcoin.
"Non hai a che fare con un account normale. Hai a che fare con un account che contiene valuta digitale, il che è irreversibile. È un po' più serio."
Coinbase ha riconosciuto questa preoccupazione, pur affermando di ritenere che rappresenti un basso rischio di frode e che sia più pericoloso per gli utenti in quanto problema di spam.
Coinbase ha dichiarato nel suo post sul blog di prendere sul serio il problema dello spamming, sottolineando che applica limiti di frequenza ad azioni sensibili come la richiesta di denaro, in modo che T vengano ampiamente abusate.
Di più per voi
Cosa sapere:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Di più per voi
Bitcoin si muove in modo turbolento mentre Powell della Fed bilancia questioni sul mercato del lavoro e sull'inflazione
"Powell sta camminando sul filo tra i due loro mandati," ha dichiarato un analista.
Cosa sapere:
- I prezzi delle criptovalute sono stati volatili mercoledì, cancellando gran parte dei guadagni dopo il taglio dei tassi da parte della Fed avvenuto in precedenza.
- Nella sua conferenza stampa post-riunione, il Presidente della Fed Jerome Powell ha preso atto di un mercato del lavoro che potrebbe essere più debole del previsto, pur mantenendo un tono di cautela riguardo ai progressi compiuti nella lotta all'inflazione.
Storie Da Non Perdere
