Una reimpostazione della password viene forzata sugli utenti dello scambio di criptovaluta Poloniex dopo una perdita di credenziali
Ieri abbiamo scritto di una recente campagna di phishing rivolta agli utenti PayPal in America Latina. Abbiamo parlato di come i phisher spesso cercano di ingannare le vittime nel pensare che qualcuno stia cercando di hackerare il loro account. L'idea è che il panico che ne deriverà ridurrà le possibilità che l'utente si accorga di essere stato truffato. Sebbene sia abbastanza efficace, la pratica è abbastanza comune ora e molte persone lo sanno. Tanto che, in effetti, quando alcuni utenti di Poloniex hanno ricevuto e-mail relative alla sicurezza del loro account, erano piuttosto scettici.
Table of Contents
Un avviso e-mail inaspettato solleva alcune sopracciglia
Secondo il messaggio, lo scambio di criptovaluta stava contattando i suoi clienti a causa di un elenco di indirizzi e-mail e password che circolavano su Twitter. L'e-mail diceva che il team di sicurezza della piattaforma di trading ha preso possesso dell'elenco, analizzato e determinato che alcuni degli indirizzi erano associati agli account Poloniex. Agli utenti che hanno ricevuto il messaggio è stato detto che il loro indirizzo era in quella lista e che per una grande cautela, Poloniex ha forzato una reimpostazione della password per il loro account. Sebbene non esistesse un link che li reindirizzasse a una pagina di accesso, alcuni utenti presumevano immediatamente di trovarsi alla fine di ricevere un attacco di phishing.
Hanno espresso le loro preoccupazioni sui social media e molte altre persone hanno concordato che il messaggio sembra in qualche modo sospetto. Il 30 dicembre, tuttavia, il team di supporto di Poloniex ha confermato che l'e-mail era autentica.
Poloniex ci racconta cosa è successo
Nonostante il tweet di Poloniex, alcune persone sono rimaste confuse e ieri, lo scambio di criptovaluta ha finalmente deciso di pubblicare un post Medium e condividere maggiori dettagli sulla questione. Il post afferma che circa l'1% dei clienti della piattaforma di trading ha ricevuto l'avviso e-mail. Come già accennato, Poloniex li ha contattati perché i loro indirizzi e-mail sono stati trovati in un elenco di credenziali di accesso trapelate che stava facendo il giro alla fine di dicembre.
Fondamentalmente, i dati non sono stati rubati da Poloniex. Gli esperti di sicurezza dello scambio di criptovaluta hanno controllato i loro sistemi e non hanno trovato prove di una violazione dei dati. Inoltre, nel post Medium e nell'e-mail hanno indicato che memorizzano le password come hash criptati salati. Al contrario, tutte le informazioni di accesso nell'elenco trapelato erano in chiaro.
Dopo essere entrati in contatto con Troy Hunt, gli esperti di sicurezza di Poloniex hanno scoperto che un enorme 90% delle password dell'elenco erano già presenti nel database di Have I Been Pwned. Hunt ha già il resto dei dati e li caricherà presto nel suo servizio di avviso di violazione dei dati.
In altre parole, gli specialisti della sicurezza di Poloniex hanno cercato di proteggere i propri clienti da un attacco di riempimento delle credenziali.
Una divulgazione leggermente migliore avrebbe fatto la differenza
Mettere le mani su una quantità significativa di dati di accesso rubati è più facile che mai, il che significa che gli attacchi di riempimento delle credenziali stanno diventando sempre più frequenti. Poloniex merita una pacca sulla spalla per aiutare i propri clienti a proteggersi da questa particolare minaccia. Va detto, tuttavia, che un resoconto più dettagliato di ciò che stava accadendo e un tempismo leggermente migliore avrebbero risparmiato agli utenti un sacco di grattacapi.
L'avviso, ad esempio, non ha indirizzato gli utenti in base al loro nome o nome utente e invece è iniziato con "Gentile cliente Poloniex", che è spesso considerato un segnale rivelatore di un'e-mail di phishing. Inoltre, quando i messaggi sono stati inviati, non vi era alcun post sul blog che potesse far luce sulla questione. Non è uscito fino a tre giorni dopo, e durante quel periodo, l'unica cosa che i clienti dovevano passare era un tweet dall'account di supporto di Poloniex, che li spingeva a "reimpostare la password per la sicurezza dell'account".
Come puoi vedere, anche i più piccoli errori possono causare molta confusione, soprattutto quando è in gioco la sicurezza (e, in questo caso, criptovaluta) di molte persone. L'intera storia è l'ennesima prova che la divulgazione di un evento relativo alla sicurezza a volte è tanto importante quanto le azioni intraprese per garantire che le persone rimangano al sicuro.
