Поділитися цією статтею
Coinbase виявляє збій пароля 3500 клієнтів
RARE помилка вплинула приблизно на 0,01 відсотка з 30 мільйонів клієнтів біржі, повідомляє Coinbase у п’ятницю.
Автор Nikhilesh De
Крипто Coinbase розкрила потенційну вразливість у п’ятницю, оголосивши, що крихітна частка паролів її клієнтів зберігається у вигляді звичайного тексту у внутрішньому журналі сервера. Однак інформація не була неправомірно доступна стороннім сторонам, повідомляє біржа.
В а посмертно Поділився з CoinDesk, Coinbase окреслив «проблему зберігання паролів», яка вплинула на менше ніж 3500 клієнтів (з понад 30 мільйонів у всьому світі), що на короткий час призвело до того, що особиста інформація, включаючи паролі, зберігалася у вигляді відкритого тексту у внутрішніх системах реєстрації.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути всі розсилки
«У зв’язку з дуже специфічною та RARE помилкою реєстраційна форма на нашій сторінці реєстрації T завантажувалася належним чином, що означало, що будь-яка спроба створити новий обліковий запис Coinbase за таких умов буде невдалою», — пояснюється в дописі. «На жаль, це також означало, що ім’я особи, адреса електронної пошти та запропонований пароль (і штат проживання, якщо в США) будуть надіслані до наших внутрішніх журналів».
У 3420 випадках потенційні клієнти використовували той самий пароль під час другої спроби реєстрації, яка була успішною, але в результаті вони мали пароль, який збігався з хешованою версією в журналах компанії. Ці клієнти були сповіщені Coinbase електронною поштою в п'ятницю.
Помилка сталася через використання Coinbase рендерингу React.js на стороні сервера на сторінці реєстрації. По суті, коли користувач відвідує сторінку, щоб зареєструвати обліковий запис, React допомагає відобразити форму, яку потрібно заповнити.
«Будь-який користувач, який намагається зареєструватися, повинен увімкнути JavaScript і правильно завантажувати JavaScript», — пояснюється в публікації, додаючи:
«Практично за будь-яких обставин обидві ці речі вірні, і React обробляє перевірку форми та надсилає її на сервер. Однак, якщо у користувача був вимкнений JavaScript або його браузер отримав помилку React.js під час завантаження, було достатньо попередньо відрендереного HTML, який користувач міг заповнити та спробувати надіслати нашу реєстраційну форму».
Оскільки форма HTML «була надзвичайно простою», не було встановлено жодних атрибутів «дія» чи «метод». Через поведінку за замовчуванням це призвело до того, що деякі браузери за замовчуванням використовували «GET», який кодував змінні форми як частину даних журналу.
Обмінник вирішив проблему, змінивши метод форми за замовчуванням на «POST», щоб дані більше не реєструвалися.
Хоча Coinbase шукала інші форми «з такою проблемною поведінкою», біржа не виявила жодної.
«Ми також знаходимося в процесі впровадження додаткових механізмів для виявлення та запобігання випадковому виникненню такого роду помилок у майбутньому», — публікація в блозі сказав.
У відповідь на Цікаве Coinbase повідомила, що відстежує різні місця, де можуть зберігатися журнали, зокрема систему, розміщену на Amazon Web Services, і деяких «постачальників послуг аналізу журналів».
«Ретельна перевірка доступу до цих систем реєстрації не виявила жодного несанкціонованого доступу до цих даних», — йдеться в повідомленні, додаючи, що доступ до кожної з систем «суворо обмежений і перевіряється».
Coinbase повідомила, що також ініціювала скидання паролів для будь-якої особи, чий обліковий запис постраждала. (У блозі додано, що для входу в облікові записи користувачам потрібна двофакторна автентифікація на додаток до пароля.)
«Хоча ми впевнені, що ми усунули основну причину та що зареєстрована інформація не була неналежним чином доступна, не використана або скомпрометована, ми вимагаємо від цих клієнтів змінити свої паролі як найкращий запобіжний захід», — пояснюється в дописі.
«Нагадуємо, що Coinbase також підтримує активність програма винагороди за помилки на HackerOne, яка на сьогоднішній день виплатила понад чверть мільйона доларів. Хоча ця конкретна помилка була виявлена внутрішньо, ми запрошуємо дослідників безпеки подавати звіти щоразу, коли вони вважають, що могли виявити недолік в ONE із наших систем», – підсумували на біржі.
Повідомлення Coinbase сталося після того, як Binance та Huobi постраждали від реальних порушень даних. На відміну від Coinbase, Binance та Huobi, схоже, втратили контроль над даними клієнта «знай свого клієнта», включаючи документи, що підтверджують особу.
Зображення Брайана Армстронга через архіви CoinDesk
Більше для вас
Що варто знати:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Більше для вас
Gemini схвалено CFTC для запуску ринків прогнозів у США
Компанія Gemini повідомила, що її афілійована структура Gemini Titan отримала схвалення CFTC на здійснення діяльності як Designated Contract Market, що дозволяє компанії пропонувати в Сполучених Штатах регульовані ринки прогнозів.
Що варто знати:
- Компанія Gemini повідомила, що її афілійована структура Gemini Titan отримала схвалення CFTC на діяльність як Визначений контрактний ринок (Designated Contract Market).
- Компанія заявила, що ліцензія дозволяє їй пропонувати регульовані ринки прогнозів клієнтам зі США.
- Близнюки Вінклвосс високо оцінили це рішення як відповідне прагненню президента Трампа до лідерства США у криптосекторі.
Головне
