„Poloniex“ kriptovaliutos keityklos vartotojams priverstas slaptažodžio keitimas iš naujo po įgaliojimų nutekėjimo
Vakar rašėme apie neseną sukčiavimo kampaniją, skirtą „PayPal“ vartotojams Lotynų Amerikoje. Kalbėjome apie tai, kaip sukčiai dažnai bando apgauti aukas manydami, kad kažkas bando nulaužti jų sąskaitą. Idėja yra ta, kad kilusi panika sumažins vartotojo galimybes pastebėti, kad jie yra sukčiaujami. Nors ji yra gana efektyvi, dabar praktika yra gana įprasta, ir apie ją žino daugybė žmonių. Tiesą sakant, kai keli „Poloniex“ vartotojai gavo laiškus, susijusius su jų paskyros saugumu, jie buvo gana skeptiški.
Table of Contents
Netikėtas el. Pašto įspėjimas kelia kai kuriuos antakius
Anot pranešimo, kriptovaliutos keitykla susisiekė su savo klientais dėl el. Pašto adresų ir slaptažodžių sąrašo, kuris cirkuliavo „Twitter“. El. Laiške buvo rašoma, kad prekybos platformos apsaugos komanda sugavo sąrašą, jį išanalizavo ir nustatė, kad kai kurie adresai buvo susieti su „Poloniex“ sąskaitomis. Pranešimą gavusiems vartotojams buvo pasakyta, kad jų adresas yra tame sąraše ir kad, būdamas labai atsargus, „Poloniex“ privertė iš naujo nustatyti slaptažodį savo paskyroje. Nors nebuvo saito, kuris nukreiptų juos į prisijungimo puslapį, kai kurie vartotojai iškart manė, kad jie yra sukčiavimo apsimetant užpuolimo pabaigoje.
Jie išreiškė savo susirūpinimą socialinėje žiniasklaidoje ir daugybė kitų žmonių sutiko, kad žinia atrodo šiek tiek žuvytė. Tačiau gruodžio 30 d. „Poloniex“ palaikymo komanda patvirtino, kad el. Paštas buvo tikras.
Poloniex pasakoja, kas nutiko
Nepaisant „Poloniex“ tviterio, kai kurie žmonės liko sumišę, o vakar kriptovaliutų birža pagaliau nusprendė paskelbti „Medium“ įrašą ir pasidalyti daugiau informacijos šiuo klausimu. Įraše rašoma, kad apie 1% prekybos platformos klientų gavo įspėjimą el. Paštu. Kaip jau minėta, „Poloniex“ susisiekė su jais, nes jų el. Pašto adresai buvo rasti nutekėjusių prisijungimo duomenų sąraše, kuris gruodžio pabaigoje vykdė apvalius veiksmus.
Svarbiausia, kad duomenys nebuvo pavogti iš „Poloniex“. Kriptovaliutų biržos saugumo ekspertai patikrino savo sistemas ir nerado duomenų pažeidimo įrodymų. Dar daugiau, jie paminėjo tiek „Medium“ įraše, tiek el. Laiške, kad slaptažodžius saugo kaip sūdytą „bcrypt“ maišalą. Priešingai, visa prisijungimo informacija nutekėjusiame sąraše buvo paprasta forma.
Susisiekę su Troy Hunt, „Poloniex“ saugumo ekspertai suprato, kad didžiuliai 90% slaptažodžių iš sąrašo jau buvo duomenų bazėje „ Ar aš buvau“. Hunt jau turi likusius duomenis ir netrukus įkels juos į savo duomenų pažeidimų perspėjimo tarnybą.
Kitaip tariant, „Poloniex“ saugumo specialistai bandė apsaugoti savo klientus nuo kredencialų įdaro užpuolimo.
Šiek tiek geresnis atskleidimas būtų viską pakeitęs
Paimti rankas į didelį pavogtų prisijungimo duomenų kiekį yra lengviau nei bet kada, o tai reiškia, kad kredencialų įdaro išpuoliai tampa vis dažnesni. „Poloniex“ nusipelno pataisos ant nugaros, kad padėtų savo klientams apsisaugoti nuo šios ypatingos grėsmės. Tačiau reikia pasakyti, kad išsamesnė to, kas vyko, ir šiek tiek geresnis laiko grafikas vartotojams būtų sutaupę daug galvos.
Pvz., Perspėjime vartotojai nebuvo kreipiami pagal vardą ar vartotojo vardą, o vietoj to buvo pradėta naudoti su „Geruoju Poloniex klientu“, kuris dažnai laikomas sukčiavimo elektroninio pašto signaliniu ženklu. Be to, kai buvo išsiųstos žinutės, nebuvo lydimojo tinklaraščio įrašo, kuris galėtų parodyti daugiau informacijos šiuo klausimu. Jis išėjo tik po trijų dienų ir per tą laiką vienintelis dalykas, kurį turėjo aplankyti klientai, buvo „Twitter“ iš „Poloniex“ palaikymo paskyros, kuris paragino juos „iš naujo nustatyti slaptažodį slaptažodžio apsaugai“.
Kaip matote, net ir mažiausios klaidos gali sukelti daug painiavos, ypač kai pavojuje yra daugelio žmonių saugumas (o šiuo atveju - kripto pinigai). Visa istorija yra dar vienas įrodymas, kad su saugumu susijusio įvykio atskleidimas kartais yra toks pat svarbus kaip ir veiksmai, kurių imamasi siekiant užtikrinti žmonių saugumą.
