加密货币交易所Coinbase在内部记录系统中泄露密码错误
周五,加密货币交易所Coinbase揭开了潜在的曝光率。交易所宣布其客户密码的一小部分以明文形式存储在内部服务器日志中。然而,根据交易所声明,外部各方不会不恰当地获取信息。
在官方博客文章中,Coinbase总结了一个密码存储问题,影响了大约3500个客户,这些客户暂时导致个人信息(包括密码)以可理解的文本存储在内部日志记录系统中。
需要注意的是,在三千二百二十个实例中,潜在客户在其第二次注册尝试时使用相同的密码。有趣的是,注册会很好,但会导致他们的密码与Coinbase日志中的哈希版本相匹配。本周五,Coinbase通过电子邮件通知了这些用户。
值得注意的是,上述错误是由于加密货币交易所在注册页面上使用React.js服务器端呈现。从根本上说,当用户访问该页面以注册帐户时,React便于显示需要填写的表单。
根据博客,HTML表单非常基本。因此,未设置任何操作或方法属性。从技术上讲,这导致一些浏览器默认为“GET”,由于默认行为,它将表单变量编码为日志数据的一部分。
此外,Coinbase还提到它还为帐户受影响的任何用户触发了密码重置。有趣的是,博客文章补充说,它需要在密码之上进行双因素身份验证,以便客户登录帐户。