資格情報の漏洩後にPoloniex Cryptocurrency Exchangeのユーザーにパスワードのリセットが強制される

昨日、ラテンアメリカのPayPalユーザーを対象とした最近のフィッシングキャンペーンについて書きました 。私たちは、フィッシング詐欺師が被害者をだまして、誰かが自分のアカウントをハッキングしようとしていると思わせる方法について話しました。その結果、パニックが発生すると、ユーザーが詐欺に気付く可能性が低くなります。これは非常に効果的ですが、今ではその慣行はかなり一般的であり、多くの人々がそれについて知っています。実際、少数のPoloniexユーザーがアカウントのセキュリティに関連するメールを受け取ったとき、彼らはかなり懐疑的でした。

予期しない電子メールアラートがいくつかの眉をひそめます

メッセージによると、暗号通貨取引所は、メールアドレスとパスワードのリストがツイッター上を回っていたため、顧客に連絡していました。この電子メールは、取引プラットフォームのセキュリティチームがリストを取得して分析し、アドレスの一部がPoloniexアカウントに関連付けられていると判断したと述べました。メッセージを受け取ったユーザーは、自分のアドレスがそのリストに載っていることと、十分な注意を払っていないために、Poloniexがアカウントのパスワードのリセットを強制したと伝えられました。ログインページにリダイレクトするリンクはありませんでしたが、一部のユーザーはフィッシング攻撃の受信側にいるとすぐに思い込んでしまいました。

彼らはソーシャルメディアに懸念を表明し 、他の多くの人々はメッセージがやや怪しげに見えることに同意しました。しかし、12月30日、ポロニエックスのサポートチームは、メールが本物であることを確認しました。

Poloniexは何が起こったかを教えてくれます

Poloniexのツイートにもかかわらず、一部の人々は混乱したままでした。昨日、暗号通貨取引所は最終的に中規模の投稿を公開し、この問題に関する詳細を共有することにしました。投稿によると、取引プラットフォームの顧客の約1％が電子メールアラートを受信しました。すでに述べたように、ポロニエックスは彼らのメールアドレスが12月下旬にラウンドを行っていた漏洩したログイン資格情報のリストで見つかったため、彼らに連絡しました。

重要なのは、データがPoloniexから盗まれたことではありません。暗号通貨取引所のセキュリティ専門家はシステムをチェックし、データ侵害の証拠を発見しませんでした。さらに、中程度の投稿と電子メールの両方で、パスワードをソルトされたbcryptハッシュとして保存することについて言及しました。対照的に、リークされたリストのすべてのログイン情報はプレーンテキストでした。

Trooni Huntと連絡を取った後、Poloniexのセキュリティの専門家は、リストのパスワードのなんと90％がHave I Been Pwnedデータベースにすでに存在することを発見しました 。ハントはすでに残りのデータを保持しており、まもなくデータ侵害アラートサービスにロードします。

言い換えれば、ポロニエックスのセキュリティスペシャリストは、クレデンシャルスタッフィング攻撃から顧客を保護しようとしました。

わずかに優れた開示がすべての違いを生んだ

大量の盗まれたログインデータを手に入れるのはこれまでになく簡単です。これは、クレデンシャルスタッフィング攻撃がますます頻繁になっていることを意味します。 Poloniexは、顧客がこの特定の脅威から自分自身を守るのを支援してくれたことに感謝します。ただし、何が起こっているのかをより詳細に説明し、少し良いタイミングを設定すれば、ユーザーは頭を悩ますことを大幅に減らすことができます。

たとえば、アラートはユーザーの名前やユーザー名ではなく、代わりに「親愛なるPoloniexのお客様」で始まりました。これは、フィッシングメールのテルサインとしてよく考えられます。これに加えて、メッセージが送信されたとき、問題をさらに明らかにすることができる付随するブログ投稿はありませんでした。それは3日後まで出てこなかったが、その間、顧客が通過しなければならなかったのはPoloniexのサポートアカウントからのツイートだけであり、「アカウントのセキュリティのためにパスワードをリセットする」よう促した。

ご覧のように、特に多くの人のセキュリティ（この場合は暗号通貨）が危険にさらされている場合、小さな間違いでも多くの混乱を引き起こす可能性があります。ストーリー全体は、セキュリティ関連のイベントの開示が、人々の安全を確保するために講じられる措置と同じくらい重要である場合があることのさらに別の証拠です。