仮想通貨取引所コインベース、3500万ユーザーに関わる軟弱性を発見

2019年8月17日、コインベースは顧客3,420人に対して「アカウント登録ページのバグにより、登録の詳細なデータがコインベース内部Webサーバーログにクリアテキスト（平文）で保存されていた」とメッセージを送ったことを発表した。すでに原因は解明されており、問題は修正済みだ。ログに記録された情報に不適切なアクセスはなく、顧客情報が悪用されたり、侵害されるなどはないとのこと。コインベース側は、今回の問題に対する最善策として、顧客にパスワードの変更を求めている。

パスワードが暗号化されていない平文（プレーンテキスト）で保存されていた事例として、2019年3月に起きたフェイスブックの個人情報流出事件は記憶に新しい。フェイスブックでは2012年からパスワードを平文で保存していたため、アクセスログから調べたところ、約2,000人が約900万回もデータベース検索していたことが判明（データには2万人以上の従業員がアクセス可能だった）。悪意のあるアクセスではなかった・不正利用はなかったとしているが、未だ不安は残る。

原因は稀なエラー

今回のコインベースの発表によると、新規登録ページの登録フォームが正常に読み込まれなかった場合、新しいアカウントを作成したくても失敗するが、「登録者名」「メールアドレス」「自分で設定したパスワード」「米国人の場合は住所」といったデータはコインベースの内部ログに送信され、”平文状態で保存”されてしまう。

そして、ユーザーが新規登録ページを更新（リロード）し、同じパスワードを入力して再度新規アカウント登録をした場合、パスワードのハッシュ（暗号）が前回と同じものになる。
これにより、内部ログの”先に平文状態で保存されたデータ”が丸見えとなるとのこと。

調査した結果

特殊なバグを修正した後、コインベースは関連する内部ログを全てトレースバック（遡及）した。コインベースには、クラウドサービスAWSで対応する内部ログシステムと、少数のログ分析サービスプロバイダーがあり、全てのアクセスは厳しく制限・監査されている。これらシステムへのログアクセスを徹底的にチェックしたが、平文状態で保存されたデータへの不正アクセスは発見できなかったと説明している。

なお、今回のバグは内部で発見されたものだが、コインベースでは「HackerOne」にてバグ発見者に報奨金を支払うプログラムを運用しており、すでに25万ドル以上を支払っているという。