Coinbase承认：Buggy注册页面以未加密货币形式记录了3,420个密码

Coinbase周五（8月16日）透露，其注册（“创建帐户”）页面中的错误导致3,420位客户在其内部网站上以明文形式登录的注册详细信息（如全名，电子邮件地址和密码）服务器日志。

发生了什么

Coinbase的博客文章称，在“非常具体和罕见的错误条件”下，注册页面中的注册表单“无法正确加载，这意味着在这些条件下创建新Coinbase帐户的任何尝试都将失败。”

遗憾的是，这导致有关个人的姓名，电子邮件地址和建议密码以明文（即未加密的形式）保存在Coinbase的内部日志中。

如果该人试图注册“重新加载页面然后提交表格以便成功注册”，则上述注册信息将不会被记录（这是正确的行为），并且建议的密码将“安全地散列”，但是3,420个实例，用户“使用与之前记录的密码相匹配的密码成功注册”（这显然不是一件好事，因为这意味着，理论上，某些Coinbase员工可以访问这些新客户的密码） 。

Coinbase如何处理这种情况

Coinbase做了几件事来处理这种情况：

• 管理以快速识别和修复错误。
• 发现“这些日志可能已经结束的所有地方。”
• 广泛审查对其内部日志系统的访问（托管在亚马逊的AWS上），“少数日志分析服务提供商”可以看到该系统;此评测“未透露任何未经授权的访问此数据的行为。”
• 尽管知道某人的密码不足以访问该人的帐户，但已激活所有3,420名受影响客户的密码重设，因为Coinbase的“设备验证电子邮件”和强制性双因素身份验证（2FA）机制将“阻止任何未经授权的登录尝试“。
• 向所有3,420名受影响的客户发送电子邮件，让他们知道发生了什么，并要求他们选择新密码。

结论

虽然很容易批评Coinbase没有完美的100％无缺陷实现（尽管几乎任何软件系统中的漏洞实际上都是不可避免的），但Coinbase应该受到高度赞扬，因为它通过公开制作完全对客户透明化披露。

最后，值得承认的是，Coinbase已经“在HackerOne上实施了一个活跃的bug赏金计划，到目前为止已经支付了超过25万美元。”

特色图片由Coinbase提供