Come è noto, il provider di wallet Tangem ha corretto una vulnerabilità di sicurezza critica sulla sua app mobile in grado di raccogliere le chiavi private di alcuni utenti mediante e-mail.
La risoluzione è seguita a ripetuti richiami da parte degli utenti di Reddit a Tangem per aver messo a rischio i fondi degli investitori esponendo le loro chiavi private su account di posta elettronica ed ai dipendenti di Tangem.
Il 29 dicembre, una discussione su Reddit relativa alle operazioni di Tangem ha preso piede, asserendo che il provider di wallet consentiva che le chiavi private rimanessero nelle cronologie delle e-mail. Il Redditor u/areklanga ha aggiunto che Tangem non ha fornito una “reazione adeguata” una volta segnalato il problema.
"Quindi, le chiavi private degli utenti rimangono nella cronologia delle e-mail degli utenti, nella cronologia delle e-mail di Tangem e forse in qualche sistema di tracciamento dei ticket di Tangem a disposizione dei dipendenti. Ciò rende tutti gli utenti di Tangem compromessi”.
Hanno inoltre asserito che il post originale su Reddit in cui si menzionava l'inconveniente “è stato soppresso per qualche motivo”.
Tangem rilascia tempestiva correzione del bug
Il 30 dicembre Tangem ha riconosciuto il problema e ha dichiarato che l'incidente si è verificato a causa di un bug nell'elaborazione dei log dell'applicazione mobile, già “completamente risolto”. Inoltre, Tangem ha fornito una descrizione dettagliata della situazione:
“Qual era il problema? Quando si creava un portafoglio con una seed phrase, la chiave privata veniva erroneamente registrata nei log dell'applicazione. Tali registri potevano essere consultati in seguito durante le interazioni con il nostro team di assistenza”.
Tangem riceve un nuovo aggiornamento il 30 dicembre. Fonte: Google Play
Il sito ufficiale di Tangem, che riporta tutti gli aggiornamenti di versione della sua applicazione mobile, non menziona i dettagli dell'aggiornamento del 30 dicembre.
Nella replica su Reddit, Tangem ha altresì confermato che “tutti i log e gli allegati inviati al team di assistenza sono stati eliminati definitivamente, assicurando che non rimangano dati residui”.
Tangem accusata di sminuire la situazione
Stando a quanto dichiarato dall'azienda, il bug ha interessato un ristretto gruppo di utenti, contattati tempestivamente a scopo cautelativo e di supporto:
"Potrebbe aver coinvolto un gruppo estremamente limitato di utenti: nello specifico, coloro che hanno utilizzato una seedphrase generata e poi hanno immediatamente inviato una richiesta di assistenza tramite l'app. Non riguarda nessun altro utente”.
Sebbene Tangem abbia rilasciato un aggiornamento il 30 dicembre volto a prevenire ulteriori fughe di seed phrase, diversi membri della crypto community hanno criticato la risposta piuttosto blanda da parte del provider del wallet. Tangem non ha replicato alla richiesta di commento di Cointelegraph.
Ad oggi Tangem non ha rilasciato alcun annuncio sui suoi canali di social media, Twitter, Discord o Telegram. Ad ogni modo, si consiglia a tutti gli utenti di Tangem di aggiornare immediatamente le proprie applicazioni mobili al fine di scongiurare potenziali leak di seed phrase.
Traduzione a cura di Walter Rizzo