总部位于旧金山的比特币钱包提供商Coinbase正式回应有关4月1日“收款”服务功能引发的社会关注,有报告认为该服务可以被网络钓鱼者和诈骗者滥用。
在该回应发出之前,一个PasteBin入口公布了大约2000个Coinbase用户姓名和电子邮件泄露,引起Reddit和社交媒体上的广泛猜测。
CoinDesk澄清说,虽然某些用户的个人信息被发布到网上,但是该事件并不是一个数据泄漏,而是共享科技服务功能开发。恶意用户可以使用一个电子 邮件地址,来确定是否有人在支付服务网站有账户,如PayPal,Square Cash和Venmo,这个过程叫电子邮件枚举。
公司的官方回应如下:“虽然我们相信这种类型的垃圾邮件和用户枚举的活动并不会给Coinbase用户带来显著风险,但是我们绝对承认它可以制造麻烦,并造成混乱。”
Coinbase的“收款”功能允许用户通过输入一个电子邮件地址来请求资金。如果收件人是Coinbase用户,网站会返回一封电子邮件,包括完整的用户姓名,如果用户使用自己的真实姓名在网站进行注册的话。
Coinbase并不要求用户提供真实姓名,并表示提供此类信息符合其隐私政策。不过,至少有一位安全官员表示担心,这些信息可能被恶意用户利用,从事欺诈行为。
争端的起源
此功能是由澳大利亚的安全研究员Shubham Shah报告给比特币社区的,他将在博客上表达了自己的担忧。该博客详细的描述了,如何使用Coinbase进行电子邮件枚举的全过程,并猛烈抨击公司没有采取措施来解决他的顾虑。
Coinbase检查了Shah提交的“设计缺陷”,但是告诉他,它不会提供修补程序,或为此发现发放奖励。因此,Shah决定在他的博客上公布整个过程。
根据Shah提供的时间表,他第一次接触Coinbase是在2月28日。通信包含了一系列Coinbase的回应,于3月31日结束。Shah表示Coinbase证实了这个问题,但是已关闭了这个问题的报告。
谈到CoinDesk,Shah表示,作为一名安全研究人员,他感到有责任把这个问题公布给社会,以便得以解决。此外,他声称自己与PasteBin上张贴用户姓名和电子邮件地址没有关系。
Coinbase的回应
Coinbase的博客文章解释说,尽管数据在网上流传,但是这个功能是有意设计的,旨在提高服务的可用性。此外,它表示不会针对这一功能实施邮件数量限制。Coinbase说:“允许列表是我们服务的核心功能,这个功能是故意内置在我们API中的。”
据3月31日的消息,Coinbase的代表通过HackerOne给Shah提供了公司的内部评估,HackerOne是一个安全专家在线组织,为对互联网安全性作出贡献的黑客提供奖励。
“从我们的角度,我们不认为这个问题很严重。这个问题主要是给攻击者提供信息,并不直接增加风险。在未来我们可能会考虑对这个问题做出更新,但并不觉 得它值得奖励。“该代表阐述了允许列表是其服务的一个重要方面,而且它“将不会比任何传统的钓鱼方法更危险,那些才是我们花大量时间去预防的。”
不太可能的攻击
Coinbase在其博客文章中说明,只有极少量的用户——不到0.5%——是在用实名注册。此外,它接着说明了为什么它认为这种攻击的可能性不大。Coinbase说:“这份电子邮件列表很可能来自其他网站——可能是比特币相关的。”
公司称,恶意用户需要首先获取电子邮件地址,这在网上是不公开的,然后寄钱给接收方,最后接收方可以选择是否汇款给未知用户。
Shah认为由于比特币的性质,这一设计上的缺陷非常重要。“你不是处理一个普通帐户。你在处理保存数字货币的账户,交易是不可逆转的,这点更加严重。“
Coinbase承认这个问题,但它表示,它相信这种欺诈的风险很低,相当于垃圾邮件威胁用户的问题。Coinbase在其博客中表示,它正在严肃处理垃圾邮件的问题,并采取了行动,对它们做付费限制,以避免它们被广泛滥用。
转自:淘比特
在该回应发出之前,一个PasteBin入口公布了大约2000个Coinbase用户姓名和电子邮件泄露,引起Reddit和社交媒体上的广泛猜测。
CoinDesk澄清说,虽然某些用户的个人信息被发布到网上,但是该事件并不是一个数据泄漏,而是共享科技服务功能开发。恶意用户可以使用一个电子 邮件地址,来确定是否有人在支付服务网站有账户,如PayPal,Square Cash和Venmo,这个过程叫电子邮件枚举。
公司的官方回应如下:“虽然我们相信这种类型的垃圾邮件和用户枚举的活动并不会给Coinbase用户带来显著风险,但是我们绝对承认它可以制造麻烦,并造成混乱。”
Coinbase的“收款”功能允许用户通过输入一个电子邮件地址来请求资金。如果收件人是Coinbase用户,网站会返回一封电子邮件,包括完整的用户姓名,如果用户使用自己的真实姓名在网站进行注册的话。
Coinbase并不要求用户提供真实姓名,并表示提供此类信息符合其隐私政策。不过,至少有一位安全官员表示担心,这些信息可能被恶意用户利用,从事欺诈行为。
争端的起源
此功能是由澳大利亚的安全研究员Shubham Shah报告给比特币社区的,他将在博客上表达了自己的担忧。该博客详细的描述了,如何使用Coinbase进行电子邮件枚举的全过程,并猛烈抨击公司没有采取措施来解决他的顾虑。
Coinbase检查了Shah提交的“设计缺陷”,但是告诉他,它不会提供修补程序,或为此发现发放奖励。因此,Shah决定在他的博客上公布整个过程。
根据Shah提供的时间表,他第一次接触Coinbase是在2月28日。通信包含了一系列Coinbase的回应,于3月31日结束。Shah表示Coinbase证实了这个问题,但是已关闭了这个问题的报告。
谈到CoinDesk,Shah表示,作为一名安全研究人员,他感到有责任把这个问题公布给社会,以便得以解决。此外,他声称自己与PasteBin上张贴用户姓名和电子邮件地址没有关系。
Coinbase的回应
Coinbase的博客文章解释说,尽管数据在网上流传,但是这个功能是有意设计的,旨在提高服务的可用性。此外,它表示不会针对这一功能实施邮件数量限制。Coinbase说:“允许列表是我们服务的核心功能,这个功能是故意内置在我们API中的。”
据3月31日的消息,Coinbase的代表通过HackerOne给Shah提供了公司的内部评估,HackerOne是一个安全专家在线组织,为对互联网安全性作出贡献的黑客提供奖励。
“从我们的角度,我们不认为这个问题很严重。这个问题主要是给攻击者提供信息,并不直接增加风险。在未来我们可能会考虑对这个问题做出更新,但并不觉 得它值得奖励。“该代表阐述了允许列表是其服务的一个重要方面,而且它“将不会比任何传统的钓鱼方法更危险,那些才是我们花大量时间去预防的。”
不太可能的攻击
Coinbase在其博客文章中说明,只有极少量的用户——不到0.5%——是在用实名注册。此外,它接着说明了为什么它认为这种攻击的可能性不大。Coinbase说:“这份电子邮件列表很可能来自其他网站——可能是比特币相关的。”
公司称,恶意用户需要首先获取电子邮件地址,这在网上是不公开的,然后寄钱给接收方,最后接收方可以选择是否汇款给未知用户。
Shah认为由于比特币的性质,这一设计上的缺陷非常重要。“你不是处理一个普通帐户。你在处理保存数字货币的账户,交易是不可逆转的,这点更加严重。“
Coinbase承认这个问题,但它表示,它相信这种欺诈的风险很低,相当于垃圾邮件威胁用户的问题。Coinbase在其博客中表示,它正在严肃处理垃圾邮件的问题,并采取了行动,对它们做付费限制,以避免它们被广泛滥用。
转自:淘比特
