Сброс пароля налагается на пользователей криптовалюты Exchange Poloniex после утечки учетных данных
Вчера мы писали о недавней фишинг-кампании, направленной на пользователей PayPal в Латинской Америке. Мы говорили о том, как фишеры часто пытаются обмануть жертв, заставляя их думать, что кто-то пытается взломать их аккаунт. Идея состоит в том, что возникшая паника уменьшит шансы того, что пользователь заметит, что его обманывают. Хотя это довольно эффективно, практика сейчас довольно распространена, и многие знают об этом. На самом деле, настолько, что когда несколько пользователей Poloniex получали электронные письма, связанные с безопасностью их аккаунта, они были довольно скептически настроены.
Table of Contents
Неожиданное оповещение по электронной почте вызывает удивление
Согласно сообщению, биржа криптовалют связывалась со своими клиентами из-за списка адресов электронной почты и паролей, который циркулировал в Твиттере. В электронном письме говорилось, что команда безопасности торговой платформы взяла список, проанализировала его и определила, что некоторые адреса были связаны с учетными записями Poloniex. Пользователям, получившим сообщение, сообщили, что их адрес указан в этом списке и что из-за предосторожности Poloniex принудительно сбросил пароль для своей учетной записи. Хотя не было ссылки, которая перенаправляла бы их на страницу входа, некоторые пользователи сразу предполагали, что они получают фишинговую атаку.
Они выразили свою обеспокоенность в социальных сетях, и многие другие согласились, что сообщение выглядит несколько подозрительно. Однако 30 декабря служба поддержки Poloniex подтвердила, что электронное письмо было подлинным.
Полоникс рассказывает нам, что случилось
Несмотря на твит Полоникса, некоторые люди оставались в замешательстве, и вчера биржа криптовалют наконец решила опубликовать сообщение Medium и поделиться более подробной информацией по этому вопросу. В сообщении говорится, что около 1% клиентов торговой платформы получили оповещение по электронной почте. Как уже упоминалось, Poloniex связался с ними, потому что их адреса электронной почты были найдены в списке утекших учетных данных для входа в систему, которые делали раунды в конце декабря.
Важно отметить, что данные не были украдены у Полоникса. Эксперты по безопасности биржи криптовалют проверили свои системы и не нашли никаких доказательств взлома данных. Более того, они упоминали и в сообщении Medium, и в письме о том, что они хранят пароли в виде соленых bcrypt-хэшей. Напротив, вся информация для входа в просочившийся список была в виде простого текста.
После контакта с Троем Хантом эксперты по безопасности Poloniex выяснили, что колоссальные 90% паролей из списка уже присутствуют в базе данных « У меня есть Pwned». У Ханта уже есть остальные данные, и он скоро загрузит их в свою службу оповещения о нарушении данных.
Другими словами, специалисты по безопасности Poloniex пытались защитить своих клиентов от атак с использованием учетных данных.
Чуть лучше раскрытие информации сделало бы все различия
Получить в свои руки значительное количество украденных данных для входа легче, чем когда-либо, а это значит, что атаки с использованием учетных данных становятся все более частыми. Poloniex заслуживает похвалы за то, что помогает своим клиентам защитить себя от этой конкретной угрозы. Однако следует сказать, что более подробный отчет о том, что происходит, и немного лучший выбор времени избавили бы пользователей от множества головных болей.
Например, в предупреждении не указывалось имя пользователя или имя пользователя, вместо этого оно начиналось с «Уважаемый клиент Poloniex», которое часто считается контрольным признаком фишингового электронного письма. В дополнение к этому, когда сообщения были разосланы, в блоге не было сопутствующего сообщения, которое могло бы пролить больше света на этот вопрос. Он появился только через три дня, и в течение этого времени единственное, что должны были пройти клиенты, это твит с учетной записи службы поддержки Poloniex, который призывал их «сбросить пароль для безопасности учетной записи».
Как видите, даже самые маленькие ошибки могут вызвать много путаницы, особенно когда на карту поставлена безопасность (и, в данном случае, крипто-деньги) многих людей. Вся эта история - еще одно доказательство того, что раскрытие события, связанного с безопасностью, иногда так же важно, как и действия, предпринимаемые для обеспечения безопасности людей.
