Tilbakestilling av passord tvinges på brukere av Poloniex Cryptocurrency Exchange etter en legitim lekkasje
I går skrev vi om en fersk phishing-kampanje rettet mot PayPal-brukere i Latin-Amerika. Vi snakket om hvordan phishere ofte prøver å lure ofre til å tro at noen prøver å hacke kontoen sin. Tanken er at panikken som følger, vil redusere sjansene for at brukeren legger merke til at de blir svindlet. Selv om det er ganske effektivt, er praksisen ganske vanlig nå, og mange mennesker vet om det. Så mye så faktisk at når noen få Poloniex-brukere fikk e-post relatert til kontosikkerheten, var de ganske skeptiske.
Table of Contents
Et uventet e-postvarsel hever øyenbrynene
I følge meldingen kontaktet cryptocurrency-utvekslingen sine kunder på grunn av en liste over e-postadresser og passord som sirklet rundt på Twitter. E-posten sa at handelsplattformens sikkerhetsteam tok tak i listen, analyserte den og slo fast at noen av adressene var knyttet til Poloniex-kontoer. Brukerne som mottok meldingen fikk beskjed om at adressen deres er på listen, og at Poloniex av mange forsiktigheter har tvunget tilbakestilling av passord for kontoen sin. Selv om det ikke var en lenke som omdirigerte dem til en påloggingsside, antok noen brukere umiddelbart at de var i ferd med å motta en phishing-angrep.
De uttrykte bekymring på sosiale medier, og mange andre mennesker var enige om at meldingen ser noe fiskig ut. 30. desember bekreftet imidlertid Poloniexs supportteam at e-posten var ekte.
Poloniex forteller oss hva som skjedde
Til tross for Poloniex sin tweet, forble noen mennesker forvirret, og i går bestemte cryptocurrency-børsen endelig å publisere et Medium-innlegg og dele flere detaljer om saken. Innlegget sier at omtrent 1% av handelsplattformens kunder mottok e-postvarslingen. Som allerede nevnt kontaktet Poloniex dem fordi e-postadressene deres ble funnet på en liste over innloggingsopplysninger som var lekket som gjennomførte rundene i slutten av desember.
Avgjørende er at dataene ikke ble stjålet fra Poloniex. Cryptocurrency børs sikkerhetseksperter sjekket systemene deres og fant ingen bevis for et datainnbrudd. Dessuten nevnte de både i Medium-innlegget og i e-posten at de lagrer passord som saltet bcrypt-hasj. Derimot var all innloggingsinformasjonen i den lekke listen i ren tekst.
Etter å ha kommet i kontakt med Troy Hunt, fant Poloniex sikkerhetseksperter ut at hele 90% av passordene fra listen allerede var til stede i Have I Been Pwned- databasen. Hunt har allerede resten av dataene og vil laste dem inn i varslingstjenesten for datainnbrudd snart.
Med andre ord, Poloniex 'sikkerhetsspesialister prøvde å beskytte kundene sine mot et legitimt utstoppingsangrep.
Litt bedre avsløring ville gjort hele forskjellen
Å få tak i en betydelig mengde stjålne innloggingsdata er enklere enn noen gang, noe som betyr at legitimasjonsstoppningsangrep blir mer og mer hyppig. Poloniex fortjener et klapp på baksiden for å hjelpe kundene sine med å beskytte seg mot akkurat denne trusselen. Det må imidlertid sies at en mer detaljert redegjørelse for hva som foregikk og en litt bedre timing ville spart brukere for mye riper.
Varslingen adresserte for eksempel ikke brukere ved navn eller brukernavn, og startet i stedet med "Kjære Poloniex-kunde", som ofte regnes som et fortellingstegn på en phishing-e-post. I tillegg til dette, da meldingene ble sendt ut, var det ingen tilhørende blogginnlegg som kunne belyse saken. Det kom ikke ut før tre dager senere, og i løpet av den tiden var det eneste kundene måtte gå forbi en tweet fra Poloniexs støttekonto, som oppfordret dem til å "tilbakestille passordet ditt for kontosikkerhet."
Som du kan se, kan selv de minste feilene forårsake mye forvirring, spesielt når sikkerheten (og i dette tilfellet kryptopenger) for mange mennesker står på spill. Hele historien er nok et bevis på at avsløringen av en sikkerhetsrelatert hendelse noen ganger er like viktig som handlingene som er tatt for å sikre at mennesker forblir trygge.
