Как проверить пароль на ошибки

Баг обнаружил один из пользователей после пропажи около 60 тысяч долларов в крипте с одного из своих кошельков. Путём короткого расследования ему удалось обнаружить довольно абсурдный баг. Когда юзер вводит кодовую фразу в поле восстановления кошелька — что и сделал пострадавший — сервис автоматически отправляет её как обычный текст по адресу googleapis.com для проверки правописания.

Этот процесс даже записали на видео.

Что делает Google API? Просто подчёркивает фразу красным цветом, ведь большинство паролей и не должны соответствовать правилам правописания. Зачем тогда вообще эта функция? По умолчанию она проверяет на ошибки каждое поле в форме авторизации. В любом случае, благодаря такому недоразумению кто-то стал богаче на несколько десятков тысяч долларов.

Команда разработчиков «тихо» пофиксила баг. Впрочем, если ваша кодовая фраза уже где-то «плавает» по серверам Google, рекомендуем тут же перевести свои средства на другой кошелек.

Пользователь, обнаруживший уязвимость получил вознаграждение, однако всё равно не удовлетворён официальным ответом Coinomi. Компания идентифицировала адреса, на которые была отправлена его криптовалюта и добавила их в «чёрный список» — теперь ни одна биржа не будет иметь дело с ними.

Напомним, это уже не первый случай, когда Coinomi испытывает серьёзные проблемы с приватностью своих клиентов. В прошлом году кошелек хранил в открытом доступе адреса пользователей, что вызвало бурную реакцию в криптокомьюнити.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ ВАША КРИПТА ВСЕГДА БЫЛА В БЕЗОПАСНОСТИ.