Uma redefinição de senha é forçada aos usuários do Poloniex Cryptocurrency Exchange após um vazamento de credencial
Ontem, escrevemos sobre uma recente campanha de phishing destinada a usuários do PayPal na América Latina. Conversamos sobre como os phishers geralmente tentam enganar as vítimas, pensando que alguém está tentando invadir sua conta. A idéia é que o pânico que se segue diminua as chances do usuário perceber que está sendo enganado. Embora seja bastante eficaz, a prática é bastante comum agora, e muitas pessoas sabem disso. Tanto que, na verdade, quando alguns usuários do Poloniex receberam e-mails relacionados à segurança de sua conta, ficaram bastante céticos.
Índice
Um alerta inesperado por e-mail levanta algumas sobrancelhas
Segundo a mensagem, a troca de criptomoedas estava entrando em contato com seus clientes por causa de uma lista de endereços de e-mail e senhas que circulavam no Twitter. O email dizia que a equipe de segurança da plataforma de negociação tomou conta da lista, analisou-a e determinou que alguns dos endereços estavam associados às contas da Poloniex. Os usuários que receberam a mensagem foram informados de que o endereço deles estava nessa lista e que, com bastante cautela, o Poloniex forçou uma redefinição de senha para sua conta. Embora não houvesse um link que os redirecionasse para uma página de login, alguns usuários imediatamente assumiram que estavam recebendo o ataque de phishing.
Eles expressaram suas preocupações nas mídias sociais, e muitas outras pessoas concordaram que a mensagem parece um pouco suspeita. Em 30 de dezembro, no entanto, a equipe de suporte da Poloniex confirmou que o email era genuíno.
Poloniex nos conta o que aconteceu
Apesar do tweet de Poloniex, algumas pessoas permaneceram confusas e, ontem, a troca de criptomoedas finalmente decidiu publicar uma publicação no Medium e compartilhar mais detalhes sobre o assunto. A publicação diz que cerca de 1% dos clientes da plataforma de negociação receberam o alerta por email. Como já mencionado, a Poloniex os contatou porque seus endereços de email foram encontrados em uma lista de credenciais de login vazadas que estavam circulando no final de dezembro.
Fundamentalmente, os dados não foram roubados da Poloniex. Os especialistas em segurança da bolsa de criptomoedas verificaram seus sistemas e não encontraram evidências de violação de dados. Além disso, eles mencionaram na postagem do Medium e no email que armazenam senhas como hashes de bcrypt salgados. Por outro lado, todas as informações de login na lista vazada estavam em texto simples.
Depois de entrar em contato com Troy Hunt, os especialistas em segurança da Poloniex descobriram que 90% das senhas da lista já estavam presentes no banco de dados Já fui enviado. Hunt já possui o restante dos dados e os carregará em seu serviço de alerta de violação de dados em breve.
Em outras palavras, os especialistas em segurança da Poloniex tentaram proteger seus clientes contra um ataque de preenchimento de credenciais.
Uma divulgação ligeiramente melhor teria feito toda a diferença
Colocar as mãos em uma quantidade significativa de dados de login roubados está mais fácil do que nunca, o que significa que ataques de preenchimento de credenciais estão se tornando cada vez mais frequentes. A Poloniex merece um tapinha nas costas por ajudar seus clientes a se protegerem contra essa ameaça específica. Deve-se dizer, no entanto, que uma descrição mais detalhada do que estava acontecendo e um momento um pouco melhor economizariam muito os usuários.
O alerta, por exemplo, não abordou os usuários por nome ou nome de usuário e, em vez disso, começou com "Prezado cliente da Poloniex", que geralmente é considerado um sinal revelador de um email de phishing. Além disso, quando as mensagens foram enviadas, não havia postagens no blog que pudessem lançar mais luz sobre o assunto. Ele só saiu três dias depois e, durante esse período, a única coisa que os clientes tiveram que passar foi um tweet da conta de suporte da Poloniex, que os incitou a "redefinir sua senha para segurança da conta".
Como você pode ver, mesmo os menores erros podem causar muita confusão, especialmente quando a segurança (e, neste caso, dinheiro criptográfico) de muitas pessoas está em jogo. A história toda é mais uma prova de que a divulgação de um evento relacionado à segurança às vezes é tão importante quanto as ações tomadas para garantir que as pessoas permaneçam seguras.
