A Poloniex kriptovaluták cseréjének felhasználóinak hitelesítő adatok szivárgása után vissza kell állítaniuk a jelszavakat
Tegnap írtunk egy nemrégiben folytatott adathalászati kampányról, amelyet a latin-amerikai PayPal felhasználók számára irányítottak. Beszéltünk arról, hogy az adathalászok gyakran próbálják becsapni az áldozatokat arra gondolva, hogy valaki megpróbálja feltörni a számlájukat. Az ötlet az, hogy a felbukkanó pánik csökkenti annak esélyét, hogy a felhasználó észrevegye, hogy csalásnak vetik alá magát. Bár ez elég hatékony, a gyakorlat manapság meglehetősen gyakori, és rengeteg ember tud róla. Valójában annyira, hogy amikor néhány Poloniex felhasználó e-mailt kapott a fiók biztonságával kapcsolatban, meglehetősen szkeptikusak voltak.
Table of Contents
A váratlan e-mail figyelmeztetés felvonja a szemöldökét
Az üzenet szerint a kriptovállalati tőzsde kapcsolatba lépett az ügyfelekkel az e-mail címek és jelszavak listája miatt, amely körbekerült a Twitteren. Az e-mail szerint a kereskedési platform biztonsági csapata átvette a listát, elemezte azt, és megállapította, hogy néhány cím a Poloniex számlákhoz van társítva. Az üzenetet kapott felhasználóknak azt mondták, hogy a cím szerepel a listán, és óvatosságból a Poloniex kényszerítette a jelszó visszaállítását fiókjához. Bár nem volt egy link, amely átirányította volna őket egy bejelentkezési oldalra, néhány felhasználó azonnal feltételezte, hogy az adathalász támadás fogadó végén áll.
Aggodalmaikat fejezték ki a közösségi médiában, és sokan mások egyetértettek abban, hogy az üzenet kissé halványnak tűnik. De december 30-án a Poloniex támogató csoport megerősítette, hogy az e-mail valódi.
Poloniex elmondja, mi történt
A Poloniex tweetje ellenére néhány ember zavarban maradt, és tegnap a kriptovaluták cseréje végül úgy döntött, hogy közzétesz egy közepes posztot, és további részleteket oszt meg az ügyről. A levél szerint a kereskedési platform ügyfeleinek körülbelül 1% -a kapott e-mailt. Mint már említettem, a Poloniex felvette a kapcsolatot velük, mert e-mail címeiket a kiszivárogtatott bejelentkezési hitelesítő adatok listáján találták meg, amely december végén végezte a fordulókat.
Lényeges, hogy az adatokat nem lopták el a Poloniex-től. A kriptovállalati biztonsági szakértők ellenőrizték rendszereiket, és nem találtak bizonyítékot az adat megsértésére. Sőt, mind a közepes bejegyzésben, mind az e-mailben megemlítették, hogy a jelszavakat sózott bcrypt-kivonatként tárolják. Ezzel szemben a kiszivárgott listában szereplő összes bejelentkezési információ sima szövegű volt.
Miután kapcsolatba lépett Troy Hunt-nal, a Poloniex biztonsági szakértői rájöttek, hogy a listából a jelszavak 90% -ának óriási 90% -a már megtalálható a Have I Been Pwned adatbázisban. Hunt már rendelkezik a többi adattal, és hamarosan betölti az adatsértési figyelmeztető szolgáltatásba.
Más szavakkal: a Poloniex biztonsági szakemberei megpróbálták megvédeni ügyfeleiket a hitelesítő adatok kitöltésétől.
Kissé jobb közzététel mindezt megváltoztatta volna
Jelentősebb mennyiségű ellopott bejelentkezési adat megszerzése könnyebb, mint valaha, ami azt jelenti, hogy a hitelesítő adatok kitöltésének támadása egyre gyakoribb. A Poloniex megérdemli a hátulját, hogy segítsen ügyfeleinek megvédeni magukat e konkrét fenyegetés ellen. Azt kell azonban mondani, hogy ha részletesebben beszámolunk arról, hogy mi történt, és egy kissé jobb időzítéssel sok felhasználót megtakarított volna a felhasználó.
A riasztás például nem a felhasználó nevét vagy felhasználónevét célozta meg, hanem "Kedves Poloniex ügyfél" -nel kezdődött, amelyet gyakran egy adathalász e-mail figyelmeztető jelének tekintnek. Ezen túlmenően, amikor az üzeneteket elküldték, nem volt kísérő blogbejegyzés, amely jobban megvilágíthatná az ügyet. Csak három nappal később jelent meg, és ebben az időben az ügyfeleknek csak egy tweettel kellett menniük a Poloniex támogatási fiókjából, amely felszólította őket, hogy "állítsák vissza a jelszavadat a fiók biztonsága érdekében".
Mint láthatja, még a legkisebb hibák is sok zavart okozhatnak, különösen akkor, ha sok ember biztonsága (és ebben az esetben titkosítási pénz) van veszélyben. Az egész történet egy újabb bizonyíték arra, hogy a biztonsággal kapcsolatos esemény nyilvánosságra hozatala néha ugyanolyan fontos, mint az emberek biztonságának megőrzése érdekében tett intézkedések.
