Atualização (31 de dezembro, 12:40 UTC): Este artigo foi atualizado para incluir a declaração da Tangem ao Cointelegraph sobre a vulnerabilidade de segurança, a correção e o manejo da situação.
A fornecedora de carteiras de criptomoedas Tangem corrigiu uma vulnerabilidade crítica de segurança em seu aplicativo móvel que coletava chaves privadas de certos usuários via e-mails.
A correção ocorreu após usuários no Reddit chamarem repetidamente a atenção para o risco que a Tangem estava impondo aos fundos dos investidores ao expor suas chaves privadas em contas de e-mail e para funcionários da empresa.
Em 29 de dezembro, uma discussão no Reddit sobre as operações da Tangem ganhou destaque, afirmando que a fornecedora de carteiras permitia que as chaves privadas permanecessem nos históricos de e-mail. O usuário do Reddit, u/areklanga, acrescentou que a Tangem não ofereceu uma “resposta sensata” quando a questão foi apontada anteriormente.
“Portanto, as chaves privadas dos usuários permanecem tanto no histórico de e-mails dos usuários quanto no histórico de e-mails da Tangem, e talvez em algum sistema de rastreamento de tickets da Tangem, estando disponíveis para os funcionários da empresa. Isso compromete todos os usuários da Tangem.”
Eles também alegaram que o post original no Reddit mencionando o problema “foi excluído por algum motivo.”
Tangem emitiu uma correção pontual
A Tangem reconheceu o problema em 30 de dezembro e disse que o incidente surgiu de um bug no processamento de logs do aplicativo móvel, que foi “totalmente resolvido.” A empresa também forneceu uma descrição detalhada da situação:
“Qual era o problema? Ao criar uma carteira com uma frase-semente, a chave privada foi registrada por engano nos logs do aplicativo. Esses logs poderiam ser acessados posteriormente durante interações com nossa equipe de suporte.”
A Tangem recebeu uma nova atualização em 30 de dezembro. Fonte: Google Play
De acordo com o post da empresa no Reddit, o bug afetou um pequeno grupo de usuários, que estão sendo contatados proativamente para receber orientações e suporte:
“Isso pode ter afetado um grupo muito limitado de usuários: especificamente, aqueles que usaram uma frase-semente gerada e, em seguida, enviaram uma solicitação de suporte imediatamente pelo aplicativo. Não afeta nenhum outro usuário.”
Em uma declaração enviada ao Cointelegraph, a Tangem confirmou que a vulnerabilidade estava limitada a menos de 0,1% dos usuários em circunstâncias específicas.
Apenas usuários que ativaram carteiras com uma frase-semente e entraram em contato com o suporte dentro de sete dias após a ativação foram potencialmente afetados. Usuários sem frases-semente ou aqueles que não entraram em contato com o suporte pelo aplicativo não foram afetados.
“Nenhuma chave privada foi comprometida, nenhum fundo de usuário foi perdido e nenhum acesso não autorizado às contas ocorreu,” disse a Tangem na declaração, abordando as preocupações levantadas pela comunidade cripto.
O site oficial da Tangem, que registra todas as atualizações de versão de seu aplicativo móvel, não mencionava os detalhes sobre a atualização de 30 de dezembro no momento da publicação.
A Tangem também confirmou em sua resposta no Reddit que “todos os logs e anexos enviados para sua equipe de suporte foram permanentemente excluídos, garantindo que nenhum dado residual permaneça.”
Tangem acusada de minimizar a situação
Embora a Tangem tenha lançado uma atualização em 30 de dezembro para evitar novos vazamentos de frases-semente, alguns membros da comunidade cripto criticaram a resposta discreta da fornecedora de carteiras. No entanto, a Tangem disse ao Cointelegraph que comunicou-se diretamente com os usuários afetados e lidou com a questão de forma transparente.
A Tangem não havia feito nenhum anúncio em seus canais de mídia social, Twitter, Discord ou Telegram, no momento da publicação em 31 de dezembro. No entanto, todos os usuários da Tangem são aconselhados a atualizar imediatamente seus aplicativos móveis para evitar potenciais vazamentos de frases-semente.
Em resposta ao problema, a Tangem informou ao Cointelegraph que implementou várias medidas adicionais, incluindo protocolos de segurança aprimorados, um programa de comunicação proativa para notificar usuários afetados com instruções claras e suporte, e um programa de recompensas por bugs para identificar vulnerabilidades em troca de prêmios.