En nulstilling af adgangskode tvinges til brugere af Poloniex Cryptocurrency Exchange efter en legitim lækage

Poloniex Password Reset

I går skrev vi om en nylig phishing-kampagne rettet mod PayPal-brugere i Latinamerika. Vi talte om, hvordan phishere ofte forsøger at narre ofre til at tro, at nogen prøver at hacke deres konto. Tanken er, at den panik, der følger, mindsker chancerne for, at brugeren bemærker, at de bliver svindlet. Selvom det er ret effektivt, er fremgangsmåden temmelig almindelig nu, og mange mennesker ved om det. Så meget så faktisk, at når nogle få Poloniex-brugere fik e-mails relateret til deres kontosikkerhed, var de temmelig skeptiske.

En uventet e-mail-alarm hæver nogle øjenbryn

Ifølge meddelelsen kontaktede cryptocurrency-udvekslingen sine kunder på grund af en liste med e-mail-adresser og adgangskoder, der cirklede rundt på Twitter. E-mailen sagde, at handelsplatformens sikkerhedsteam tog fat på listen, analyserede den og fastslog, at nogle af adresserne var knyttet til Poloniex-konti. De brugere, der modtog meddelelsen, fik at vide, at deres adresse er på listen, og at Poloniex ud af en overflod af forsigtighed har tvunget en nulstilling af adgangskode til deres konto. Selvom der ikke var et link, der omdirigerede dem til en login-side, antog nogle brugere straks, at de var i den modtagende ende af et phishing-angreb.

De udtrykte deres bekymring på sociale medier, og mange andre mennesker var enige om, at beskeden ser noget fiskende ud. Den 30. december bekræftede Poloniex's supportteam imidlertid, at e-mailen var ægte.

Poloniex fortæller os, hvad der skete

På trods af Poloniex's tweet forblev nogle mennesker forvirrede, og i går besluttede cryptocurrency-udvekslingen endelig at offentliggøre et Medium-indlæg og dele flere detaljer om sagen. I indlægget står, at ca. 1% af handelsplatformens kunder modtog e-mail-advarslen. Som allerede nævnt kontaktede Poloniex dem, fordi deres e-mail-adresser blev fundet på en liste med lækkede login-legitimationsoplysninger, der gennemførte runderne i slutningen af december.

Af afgørende betydning blev dataene ikke stjålet fra Poloniex. Cryptocurrency børsens sikkerhedseksperter kontrollerede deres systemer og fandt intet bevis for en dataovertrædelse. Desuden nævnte de både i Medium-indlægget og i e-mailen, at de gemmer adgangskoder som saltet bcrypt-hashes. I modsætning hertil var alle loginoplysninger på den lækkede liste i almindelig tekst.

Efter at have kontaktet Troy Hunt, regnede Poloniex's sikkerhedseksperter ud med, at 90% af adgangskoder fra listen allerede var til stede i Have I Been Pwned- databasen. Hunt har allerede resten af dataene og vil snart indlæse dem i sin advarselsservice om dataovertrædelse.

Med andre ord, Poloniex 'sikkerhedsspecialister forsøgte at beskytte deres kunder mod et legitimt udstoppningsangreb.

Lidt bedre afsløring ville have gjort forskellen

At få hænderne på en betydelig mængde stjålne login-data er lettere end nogensinde, hvilket betyder, at legitimationsstoppningsangreb bliver mere og mere hyppigt. Poloniex fortjener en klapp på ryggen for at hjælpe sine kunder med at beskytte sig mod denne særlige trussel. Det må dog siges, at en mere detaljeret redegørelse for, hvad der foregik, og en lidt bedre timing, ville have sparet brugerne meget af hovedskrammer.

Alarmen adresserede for eksempel ikke brugere ved deres navn eller brugernavn og startede i stedet med "Kære Poloniex-kunde", som ofte betragtes som et fortællende tegn på en phishing-e-mail. Derudover var der ingen ledsagende blogindlæg, når meddelelserne blev sendt ud, der kunne kaste mere lys over sagen. Det kom først ud tre dage senere, og i løbet af den tid var det eneste, kunderne måtte gå forbi, et tweet fra Poloniexs supportkonto, der opfordrede dem til at "nulstille din adgangskode til kontosikkerhed."

Som du kan se, kan selv de mindste fejl forårsage en hel del forvirring, især når sikkerheden (og i dette tilfælde kryptopenge) for mange mennesker står på spil. Hele historien er endnu et bevis på, at afsløringen af en sikkerhedsrelateret begivenhed nogle gange er lige så vigtig som de handlinger, der er truffet for at sikre, at folk forbliver i sikkerhed.

January 3, 2020

Efterlad et Svar