Een wachtwoordreset wordt opgelegd aan gebruikers van de Poloniex Cryptocurrency Exchange na een inloggelekt
Gisteren schreven we over een recente phishing-campagne gericht op PayPal-gebruikers in Latijns-Amerika. We spraken over hoe phishers slachtoffers vaak proberen te misleiden door te denken dat iemand hun account probeert te hacken. Het idee is dat de paniek die daaruit voortvloeit de kans verkleint dat de gebruiker merkt dat ze worden opgelicht. Hoewel het vrij effectief is, is de praktijk nu vrij gebruikelijk, en veel mensen weten ervan. In feite zelfs zo dat wanneer een paar Poloniex-gebruikers e-mails kregen met betrekking tot hun accountbeveiliging, ze nogal sceptisch waren.
Table of Contents
Een onverwacht e-mailbericht trekt wat wenkbrauwen
Volgens het bericht nam de cryptocurrency-uitwisseling contact op met haar klanten vanwege een lijst met e-mailadressen en wachtwoorden die op Twitter rondcirkelden. In de e-mail stond dat het beveiligingsteam van het handelsplatform de lijst in handen had, deze analyseerde en bepaalde dat sommige adressen aan Poloniex-accounts waren gekoppeld. De gebruikers die het bericht hebben ontvangen, hebben te horen gekregen dat hun adres op die lijst staat en dat Poloniex uit voorzichtigheid een wachtwoordreset voor hun account heeft gedwongen. Hoewel er geen link was die hen naar een inlogpagina leidde, gingen sommige gebruikers er onmiddellijk van uit dat ze de ontvangst van een phishing-aanval hadden.
Ze uitten hun bezorgdheid op sociale media, en veel andere mensen waren het erover eens dat de boodschap er enigszins visachtig uitziet. Op 30 december bevestigde het ondersteuningsteam van Poloniex echter dat de e-mail echt was.
Poloniex vertelt ons wat er is gebeurd
Ondanks de tweet van Poloniex bleven sommige mensen in de war, en gisteren besloot de cryptocurrency-uitwisseling uiteindelijk om een Medium-bericht te publiceren en meer details hierover te delen. De post zegt dat ongeveer 1% van de klanten van het handelsplatform de e-mailwaarschuwing heeft ontvangen. Zoals reeds vermeld, nam Poloniex contact met hen op omdat hun e-mailadressen werden gevonden op een lijst met gelekte inloggegevens die eind december de ronde deden.
Cruciaal is dat de gegevens niet van Poloniex zijn gestolen. De beveiligingsexperts van de cryptocurrency exchange hebben hun systemen gecontroleerd en hebben geen bewijs gevonden voor een datalek. Bovendien vermeldden ze zowel in de Medium-post als in de e-mail dat ze wachtwoorden opslaan als gezouten bcrypt-hashes. Alle aanmeldingsinformatie in de gelekte lijst was daarentegen in platte tekst.
Nadat ze contact hadden opgenomen met Troy Hunt, kwamen de beveiligingsexperts van Poloniex erachter dat maar liefst 90% van de wachtwoorden uit de lijst al aanwezig waren in de Have I Been Pwned- database. Hunt heeft al de rest van de gegevens en zal deze binnenkort in zijn datalek-alert-service laden.
Met andere woorden, de beveiligingsspecialisten van Poloniex probeerden hun klanten te beschermen tegen een opvallende aanval.
Iets betere openbaarmaking zou het verschil hebben gemaakt
Een aanzienlijk aantal gestolen inloggegevens in handen krijgen is eenvoudiger dan ooit, wat betekent dat aanvallen met inloggegevens steeds vaker voorkomen. Poloniex verdient een schouderklopje voor het helpen van zijn klanten om zich tegen deze specifieke bedreiging te beschermen. Het moet echter gezegd worden dat een meer gedetailleerd verslag van wat er aan de hand was en een iets betere timing gebruikers veel hoofdkrassen zou hebben bespaard.
De waarschuwing richtte gebruikers bijvoorbeeld niet op hun naam of gebruikersnaam en begon in plaats daarvan met 'Geachte klant van Poloniex', die vaak wordt beschouwd als een duidelijk teken van een phishing-e-mail. Bovendien was er bij het verzenden van de berichten geen begeleidend blogbericht dat hierover meer licht kon werpen. Het kwam pas drie dagen later uit en gedurende die tijd was het enige wat klanten moesten bezoeken een tweet van het ondersteuningsaccount van Poloniex, waarin ze werden aangespoord om "uw wachtwoord opnieuw in te stellen voor accountbeveiliging".
Zoals je kunt zien, kunnen zelfs de kleinste fouten veel verwarring veroorzaken, vooral wanneer de beveiliging (en in dit geval cryptogeld) van veel mensen op het spel staat. Het hele verhaal is nog een ander bewijs dat de openbaarmaking van een beveiligingsgerelateerd evenement soms net zo belangrijk is als de acties die zijn ondernomen om ervoor te zorgen dat mensen veilig blijven.
