网络安全公司Intezer安全研究员Paul Litvak发现Blockfolio 2017年早期版本存在一个安全漏洞,该漏洞可能使不良行为者窃取已关闭的源代码,并可能将自己的代码注入Blockfolio的GitHub存储库,然后从那里注入到应用程序本身。Litvak通过社交媒体向Blockfolio提醒注意该问题。
Blockfolio联合创始人兼首席执行官Edward Moncada表示,在以前版本的Blockfolio应用程序代码库中错误地留下了GitHub访问令牌,并且当收到该漏洞警报时,Blockfolio撤回了对该密钥的访问。 Moncada表示Blockfolio对系统进行了审核,并确认未进行任何更改。由于令牌提供了对与存储用户数据的数据库分离的代码的访问,因此用户数据不存在风险。据悉,Blockfolio为加密货币投资组合跟踪应用程序。(CoinDesk)
