Tempers flackern, während die Moon Technologies Saga weitergeht. Die Moon Technologies Saga wird weiter rumpeln, mit einer E-Mail, die auf Reddit angeblich von Moon CEO Kenneth Kruger zu Moon Account-Inhabern auftaucht.
Coin Rivet berichtete gestern, dass der Mitbegründer und ehemaliger CTO von Moon Technologies Alexander Ang das Unternehmen aufgrund von Meinungsverschiedenheiten über die Privatsphäre der Nutzer und angeblich strittigen Geschäftsbedingungen verlassen hat.
Seit dem Verlassen hat Ang mehrere Vorwürfe gegen Reddit gemacht, die alle von Kruger vehement abgelehnt wurden.
Coin Rivet hat Mr. Kruger um eine Erklärung zu erhalten. Wir müssen noch bestätigen, ob die E-Mail tatsächlich von Kruger gesendet wurde.
Die angebliche E-Mail
Die angebliche E-Mail lautet: „Hallo, ich bin Ken, der Gründer und CEO von Moon. Ich möchte Ihnen mitteilen, dass Ihr Moon-Konto von den jüngsten Ereignissen betroffen sein kann.
„Ein ehemaliger Mitarbeiter hatte Zugriff auf Coinbase-Anmeldeinformationen, die auf unseren Servern gespeichert sind. Wir haben keine Anzeichen dafür, dass diese Daten verletzt wurden, aber wir bitten Sie, Ihren Coinbase API-Schlüssel als Vorsichtsmaßnahme zu widerrufen.
„Alle Coinbase-Anmeldeinformationen auf Moon sind derzeit verschlüsselt. Auch hier haben wir keine Anzeichen dafür, dass ein Verstoß aufgetreten ist, sondern ermutigen Sie, den API-Schlüssel, der mit unserem System verbunden war, als Vorsichtsmaßnahme zu widerrufen.“
Alexander Ang antwortet
Coin Rivet sprach mit Herrn Ang, der uns auf einen Reddit Posten seiner offiziellen Erklärung verwies.
„Kenneth hat E-Mails verschickt, die mich anrufen, weil ich Zugriff habe, versucht, mir die Schuld zu geben“, schreibt er.
„Die Wahrheit ist, dass ich Zugang zu ihnen hatte. Allerdings wurde ich daran gehindert, ein System zu schaffen, das den Zugriff auf die Schlüssel von einem unserer internen Mitarbeiter blockiert hätte.“
Er stellt fest, wie dies durch rekursives Sperren von IAM-Richtlinien (Identitäts- und Zugriffsverwaltung) erreicht werden kann, die sicherstellen, dass nur Benutzer Zugriff auf ihre eigenen Schlüssel haben. Von dort „die Logik, die die Kryptowährung von Benutzern an Moon geschickt hat, wäre alles am Frontend.“
Ang beschreibt, wie dies dann auf GitHub hochgeladen werden könnte, damit die Welt sehen und kritisieren kann.
„Dies ist der Weg, um Kritik an Ihrer Sicherheitsinfrastruktur in der Branche zu bekommen - was Kenneth aktiv abgelehnt hat“, fügt er hinzu.
Ang sagt: „Im Universum gibt es absolut keine Möglichkeit, die gleichen Daten ohne Schlüssel zu verschlüsseln und dann abzurufen.
„Es war eine der Lösungen, die ich überlegte, als ich darüber nachdachte, wie Benutzer zu schützen - indem ich sie gebeten habe, ihr eigenes Passwort für den API-Schlüssel einzugeben.“
Allerdings schreibt Ang, dass er sein Coinbase-Konto mit Moon verbunden hat, wurde aber nicht nach seinem Schlüssel gefragt.
Er behauptet, dass aus diesem Grund „jede Art von 'Verschlüsselung', die getan wird, mit einem Schlüssel des Managementteams getan werden muss. Wenn Sie Ihre Schlüssel nicht widerrufen haben, sind Ihre Schlüssel weiterhin gefährdet.
„Selbst wenn Sie es mit irgendeinem Passwort sichern, hat Moon, der den Entschlüsselungsalgorithmus ausführt, nach der Entschlüsselung immer noch vollständigen Zugriff auf die API-Schlüssel.“
Sie können Ang's vollständigen Kommentar zu Reddit lesen.
Coin Rivet wird weiterhin Updates zur Verfügung stellen, während sich die Geschichte entwickelt.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.