Coinbase爆“密碼存儲漏洞” 但與幣安和火幣有何不同？_COI

金色財經比特幣8月18日訊加密貨幣交易所Coinbase于本周五對外披露了一個潛在漏洞，聲稱其部分客戶密碼是以純文本的形式存儲在內部服務器日志中。但是該交易所表示，外部無法以不正當地方式訪問這些信息。

在一份事后分析報告中，Coinbase介紹了他們的“密碼存儲漏洞”，透露目前受到影響的客戶數量大約為3500人，而且他們包括密碼在內的的個人信息短暫地以明文形式存儲在內部日志系統里。

Coinbase解釋說：

“在一個非常特殊和罕見的錯誤情況下，我們注冊頁面上的注冊表面無法正確加載，這意味著在這些條件下嘗試創建新Coinbase賬戶都會失敗。不幸的是，在這種情況下個人姓名、電子郵件地址、預設的密碼、以及你所居住的州等信息都會被發送到我們的內部日志里。”

數據：5小時前有80000枚ETH從Coinbase中轉出:金色財經消息，Tokenview數據顯示，5小時前有80,000枚ETH從Coinbase轉移到地址0xeb…d4cf。[2022/9/5 13:09:30]

在3420個實例中，如果潛在客戶在第二次嘗試注冊時使用相同的密碼就能注冊成功，但會導致他們的密碼與公司日志中的加密版本相匹配，Coinbase隨后也通過電子郵件告知了這些客戶。

據悉，由于Coinbase在注冊頁面上使用React.js服務器端呈現，因此發生了該錯誤。也就是說，當用戶訪問該頁面注冊帳戶時，React會幫助顯示需要填寫的表單。Coinbase補充解釋道：

Cathie Wood因出售Coinbase股票或被指控涉嫌內幕交易:金色財經報道，Cathie Wood因出售Coinbase股票或被指控涉嫌內幕交易，Cathie Wood的投資公司ARK Investment Management是Coinbase公司的第三大股東，據報道截至6月底持有近900萬美元，但根據7月26日的交易信息顯示，Ark Investment Management已售出總計超過140萬股Coinbase(COIN)股票，此次清算成為Ark今年首次出售Coinbase股票。（cointelegraph）[2022/7/28 2:42:57]

“任何試圖注冊的用戶都需要啟用JavaScript，并且需要正確地加載JavaScript。在這種情況下，React會處理表單驗證并提交給服務器。但是，如果用戶禁用了JavaScript或者他們的瀏覽器在加載時收到了React.js報錯，則會有足夠的預呈現HTML，用戶可以在上面填寫并嘗試提交我們的注冊表單。”

金色相對論 | Andy：?Filecoi的價值在技術及生態兩個方面:在今日舉行的金色相對論之Filecoin系列特輯終集的直播中，針對“Filecoin的價值在哪里”的問題，算力互聯Andy He表示，目前?Filecoin的價值個人覺得在技術及生態兩個方面。技術上Filecoin網絡的技術價值還是比較高的，用到了很多前沿技術，包括零知識證明、支付通道、跨鏈交易等。是一個去中心化存儲網絡，讓云存儲變成一個算法市場。其挖礦效率直接與存儲活躍度成比例，為客戶提供有用的服務。當用戶數據存儲和檢索時，為他們提供存儲空間賺取代幣。Filecoin目前在生態上也有一定價值。從技術生態上講，因為IPFS是屬于開源的，需要很多的團隊間接的加進來建設，完全利用了開源的社區的通行規律的推廣方式以及商業模式。從商業角度來看，Filecoin從營銷以及其他方面來看，有很多分布式儲存的團隊突破了組織，間接或直接的加入Filecoin團隊里面，都在持續不斷的宣傳Filecoin這個項目。Filecoin它的社區生態建設相對完備。從整個區塊鏈投資來看，社區建設是非常重要的一環，也已經有許多專門的社區聚集在?Filecoin上。并且還有許多礦機廠商也加入了Filecoin項目。這些生態逐步凝聚，也形成了看好Filecoin的共識。[2020/5/21]

由于HTML表單“非常基本”，所以沒有設置“動作”或“方法”屬性。然后在默認情況下，會導致一些瀏覽器默認其為“GET”狀況，并將表單變量編碼為日志數據的一部分。為了解決這個問題，Coinbase現在會將默認表單方法切換為“POST”，以確保不再記錄數據。

Coinbase之后搜索了“有問題行為”的其他形式，但并沒有發現任何問題。Coinbase繼續表示：

“我們還在實施其他機制，以檢測和防止將來無意中引入此類錯誤。”

不僅如此，Coinbase還對這個問題做了進一步回應，聲稱他們追蹤了可能存儲日志的各個位置，其中包括托管在AmazonWebServices和一些“日志分析服務提供商”上的系統。Coinbase確認：

“對這些日志記錄系統的訪問進行全面審查之后，我們并未發現任何未經授權訪問這些數據的情況，而且對每個系統的訪問都是經過嚴格限制和審核的。”

目前Coinbase已經為受影響的賬戶重置了密碼，并確認如果用戶重新登錄的話，需要進行雙因素身份驗證，并補充解釋說：

“雖然我們確信我們已經從根本上修復了問題，并且記錄的信息沒有被不正當地訪問，誤用或泄露，但我們仍然要求這些客戶更改他們的密碼，確保做到最佳預防措施。我們還要提醒一件事，就是Coinbase在HackerOne上依然保留了一個活躍的bug賞金計劃，迄今已支付了超過25萬美元。雖然這個特定錯誤是內部發現的，但我們依然歡迎安全研究人員在我們某個系統中發現缺陷時提交報告。”

最近，幣安和火幣都遭遇了數據泄露問題，但與之不同的是，Coinbase并沒有失去對客戶數據的控制權，包括身份驗證文件。

本文編譯自coindesk

Tags：COICOINOINNBACopperCoinGrimace Coincoinbase交易所靠譜嗎coinbase是什么平臺

酷幣下載