Bei Benutzern des Poloniex Cryptocurrency Exchange wird nach einem Berechtigungsverlust ein Zurücksetzen des Kennworts erzwungen

Poloniex Password Reset

Gestern haben wir über eine kürzlich durchgeführte Phishing-Kampagne für PayPal-Nutzer in Lateinamerika berichtet. Wir haben darüber gesprochen, wie Phisher oft versuchen, Opfer zum Narren zu halten, dass jemand versucht, ihr Konto zu hacken. Die Idee ist, dass die Panik die Wahrscheinlichkeit verringert, dass der Benutzer bemerkt, dass er betrogen wird. Obwohl es ziemlich effektiv ist, ist die Praxis mittlerweile ziemlich verbreitet und viele Leute wissen davon. So sehr, dass einige Poloniex-Benutzer, als sie E-Mails über ihre Kontosicherheit erhielten, eher skeptisch waren.

Ein unerwarteter E-Mail-Alarm zieht einige Augenbrauen hoch

Der Nachricht zufolge kontaktierte der Kryptowährungsumtausch seine Kunden aufgrund einer Liste von E-Mail-Adressen und Passwörtern, die auf Twitter im Umlauf war. In der E-Mail hieß es, das Sicherheitsteam der Handelsplattform habe die Liste in die Hand genommen, analysiert und festgestellt, dass einige der Adressen mit Poloniex-Konten verknüpft waren. Den Benutzern, die die Nachricht erhalten haben, wurde mitgeteilt, dass sich ihre Adresse auf dieser Liste befindet und dass Poloniex aus Vorsicht ein Zurücksetzen des Kennworts für ihr Konto erzwungen hat. Obwohl es keinen Link gab, der sie zu einer Anmeldeseite umleitete, gingen einige Benutzer sofort davon aus, dass sie am Ende eines Phishing-Angriffs waren.

Sie drückten ihre Besorgnis in den sozialen Medien aus und viele andere waren sich einig, dass die Nachricht etwas faul aussieht. Am 30. Dezember jedoch Poloniex Support - Team bestätigt, dass die E - Mail war echt.

Poloniex erzählt uns, was passiert ist

Trotz des Tweets von Poloniex blieben einige Leute verwirrt, und gestern beschloss der Austausch von Kryptowährungen schließlich, einen mittleren Beitrag zu veröffentlichen und weitere Details zu diesem Thema zu veröffentlichen. Der Beitrag besagt, dass etwa 1% der Kunden der Handelsplattform die E-Mail-Benachrichtigung erhalten haben. Wie bereits erwähnt, hat sich Poloniex mit ihnen in Verbindung gesetzt, da ihre E-Mail-Adressen auf einer Liste von Anmeldeinformationen verzeichnet waren, die Ende Dezember durchgingen.

Entscheidend ist, dass die Daten nicht von Poloniex gestohlen wurden. Die Sicherheitsexperten der Kryptowährungsbörse überprüften ihre Systeme und stellten keine Hinweise auf eine Datenverletzung fest. Darüber hinaus haben sie sowohl im Medium-Post als auch in der E-Mail erwähnt, dass sie Kennwörter als gesalzene bcrypt-Hashes speichern. Im Gegensatz dazu waren alle Anmeldeinformationen in der durchgesickerten Liste im Klartext.

Nachdem sie sich mit Troy Hunt in Verbindung gesetzt hatten, stellten die Sicherheitsexperten von Poloniex fest, dass satte 90% der Passwörter aus der Liste bereits in der Datenbank von Have I Been Pwned vorhanden waren. Hunt hat bereits den Rest der Daten und wird sie demnächst in seinen Data-Breach-Alert-Service laden.

Mit anderen Worten, die Sicherheitsspezialisten von Poloniex versuchten, ihre Kunden vor einem Angriff zu schützen.

Eine etwas bessere Offenlegung hätte den Unterschied ausgemacht

Es ist so einfach wie nie zuvor, an eine beträchtliche Menge gestohlener Anmeldedaten zu gelangen, was bedeutet, dass immer häufiger Angriffe auf das Füllen von Anmeldeinformationen erfolgen. Poloniex hat es verdient, seinen Kunden dabei zu helfen, sich vor dieser besonderen Bedrohung zu schützen. Es muss jedoch gesagt werden, dass eine detailliertere Darstellung der Vorgänge und ein etwas besseres Timing den Benutzern viel Kopfzerbrechen erspart hätten.

Die Warnung hat beispielsweise Benutzer nicht mit ihrem Namen oder Benutzernamen angesprochen und stattdessen mit "Sehr geehrter Poloniex-Kunde" begonnen, was häufig als Hinweis auf eine Phishing-E-Mail angesehen wird. Darüber hinaus gab es zum Zeitpunkt des Versands der Nachrichten keinen begleitenden Blog-Post, der mehr Licht in die Angelegenheit bringen könnte. Es kam erst drei Tage später heraus, und während dieser Zeit mussten die Kunden nur einen Tweet vom Poloniex-Support-Konto lesen, der sie aufforderte, "Ihr Passwort aus Gründen der Kontosicherheit zurückzusetzen".

Wie Sie sehen, können selbst die kleinsten Fehler viel Verwirrung stiften, insbesondere wenn die Sicherheit (und in diesem Fall das Kryptogeld) vieler Menschen auf dem Spiel steht. Die ganze Geschichte ist ein weiterer Beweis dafür, dass die Offenlegung eines sicherheitsrelevanten Ereignisses manchmal genauso wichtig ist wie die Maßnahmen, die ergriffen werden, um die Sicherheit der Menschen zu gewährleisten.

January 3, 2020

Antworten