Resetowanie hasła jest wymuszane na użytkownikach giełdy kryptowalut Poloniex po wycieku poświadczeń

Poloniex Password Reset

Wczoraj pisaliśmy o ostatniej kampanii phishingowej skierowanej do użytkowników PayPal w Ameryce Łacińskiej. Rozmawialiśmy o tym, jak phisherzy często próbują oszukać ofiary, aby pomyślały, że ktoś próbuje włamać się na ich konto. Chodzi o to, że panika, która się pojawi, zmniejszy szanse, że użytkownik zauważy, że został oszukany. Chociaż jest dość skuteczna, praktyka jest obecnie dość powszechna i wiele osób o niej wie. Tak bardzo, że gdy kilku użytkowników Poloniex otrzymało e-maile związane z bezpieczeństwem ich kont, byli raczej sceptyczni.

Nieoczekiwany alert e-mail budzi brwi

Zgodnie z wiadomością giełda kryptowalut kontaktowała się z klientami z powodu listy adresów e-mail i haseł krążących po Twitterze. W wiadomości e-mail podano, że zespół ds. Bezpieczeństwa platformy transakcyjnej przejął listę, przeanalizował ją i ustalił, że niektóre adresy są powiązane z kontami Poloniex. Użytkownikom, którzy otrzymali wiadomość, powiedziano, że ich adres znajduje się na tej liście i że z powodu dużej ostrożności Poloniex wymusił zresetowanie hasła do swojego konta. Chociaż nie było linku, który przekierowałby ich na stronę logowania, niektórzy użytkownicy od razu założyli, że odbierają atak phishingowy.

Wyrazili swoje obawy w mediach społecznościowych, a wiele innych osób zgodziło się, że wiadomość jest nieco podejrzana. Jednak 30 grudnia zespół wsparcia Poloniex potwierdził, że wiadomość e-mail była prawdziwa.

Poloniex mówi nam, co się stało

Pomimo tweeta Poloniex, niektórzy ludzie byli zdezorientowani, a wczoraj giełda kryptowalut zdecydowała się wreszcie opublikować średni post i udostępnić więcej szczegółów na ten temat. W poście podano, że około 1% klientów platformy handlowej otrzymało powiadomienie e-mail. Jak już wspomniano, Poloniex skontaktował się z nimi, ponieważ ich adresy e-mail zostały znalezione na liście poświadczeń logowania, które przeprowadzały rundy pod koniec grudnia.

Co najważniejsze, dane nie zostały skradzione z Poloniex. Eksperci ds. Bezpieczeństwa giełdy kryptowalut sprawdzili swoje systemy i nie znaleźli dowodów na naruszenie danych. Co więcej, wspomnieli zarówno w poście Medium, jak i w e-mailu, że przechowują hasła jako solone skróty bcrypt. Natomiast wszystkie dane logowania na liście wyciekły były w postaci zwykłego tekstu.

Po skontaktowaniu się z Troy Hunt eksperci od bezpieczeństwa Poloniex odkryli, że aż 90% haseł z listy było już obecnych w bazie danych Have I Been Pwned. Hunt ma już resztę danych i wkrótce załaduje je do swojej usługi powiadamiania o naruszeniu danych.

Innymi słowy, specjaliści bezpieczeństwa Poloniex starali się chronić swoich klientów przed atakiem polegającym na wypełnieniu danych uwierzytelniających.

Nieco lepsze ujawnienie zrobiłoby różnicę

Zdobycie znacznej ilości skradzionych danych logowania jest łatwiejsze niż kiedykolwiek, co oznacza, że ataki z użyciem poświadczeń stają się coraz częstsze. Poloniex zasługuje na poklepanie po plecach za pomoc swoim klientom w ochronie się przed tym szczególnym zagrożeniem. Trzeba jednak powiedzieć, że bardziej szczegółowe sprawozdanie z tego, co się dzieje i nieco lepsze wyczucie czasu zaoszczędziłoby użytkownikom wiele kłopotów.

Alerty, na przykład, nie zwracały się do użytkowników po imieniu lub nazwie użytkownika, a zamiast tego zaczęły się od „Szanowny kliencie Poloniex”, co jest często uważane za znak ostrzegawczy wiadomości phishingowej. Oprócz tego, gdy wiadomości zostały wysłane, nie było towarzyszącego postu na blogu, który mógłby rzucić więcej światła na tę sprawę. Pojawił się dopiero trzy dni później. W tym czasie jedyną rzeczą, którą musieli przejść klienci, był tweet z konta pomocy technicznej Poloniex, który zachęcał ich do „zresetowania hasła w celu zabezpieczenia konta”.

Jak widać, nawet najmniejsze błędy mogą powodować wiele nieporozumień, zwłaszcza gdy w grę wchodzi bezpieczeństwo (aw tym przypadku kryptowaluty) wielu osób. Cała historia jest kolejnym dowodem na to, że ujawnienie zdarzenia związanego z bezpieczeństwem jest czasami tak samo ważne, jak działania podejmowane w celu zapewnienia bezpieczeństwa ludziom.

January 3, 2020

Zostaw odpowiedź