Ett återställning av lösenord tvingas åt användare av Poloniex Cryptocurrency Exchange efter en referensläcka

Poloniex Password Reset

Igår skrev vi om en nyligen phishing-kampanj riktad mot PayPal-användare i Latinamerika. Vi pratade om hur phishers ofta försöker lura offer att tro att någon försöker hacka sitt konto. Tanken är att paniken som följer kommer att minska risken för att användaren märker att de luras. Även om det är ganska effektivt, är praxis ganska vanligt nu, och många människor vet om det. Så mycket så faktiskt att när några Poloniex-användare fick e-postmeddelanden relaterade till deras kontosäkerhet var de ganska skeptiska.

En oväntad e-postvarning höjer några ögonbrynen

Enligt meddelandet kontaktade cryptocurrency-utbytet sina kunder på grund av en lista över e-postadresser och lösenord som kretsade runt på Twitter. E-postmeddelandet sa att handelsplattformens säkerhetsteam tog tag i listan, analyserade den och bestämde att några av adresserna var kopplade till Poloniex-konton. Användarna som fick meddelandet fick höra att deras adress finns på den listan och att Poloniex av en mängd försiktighet tvingat återställning av lösenord för sitt konto. Även om det inte fanns en länk som omdirigerade dem till en inloggningssida antog vissa användare omedelbart att de var i slutet av ett phishing-attack.

De uttryckte sin oro på sociala medier, och många andra var överens om att meddelandet ser något fiskig ut. Den 30 december bekräftade emellertid Poloniexs supportteam att e-postmeddelandet var äkta.

Poloniex berättar vad som hände

Trots Poloniex tweet förblev vissa människor förvirrade, och igår beslutade cryptocurrency-utbytet äntligen att publicera ett Medium-inlägg och dela mer information om saken. Inlägget säger att cirka 1% av handelsplattformens kunder fick e-postvarningen. Som redan nämnts kontaktade Poloniex dem eftersom deras e-postadresser hittades i en lista med läckta inloggningsuppgifter som genomförde rundorna i slutet av december.

Av avgörande betydelse stängdes inte uppgifterna från Poloniex. Cryptocurrency-börsens säkerhetsexperter kontrollerade sina system och fann inga bevis för ett dataöverträdelse. Dessutom nämnde de både i Medium-inlägget och i e-postmeddelandet att de lagrar lösenord som saltad bcrypt-hashes. Däremot var all inloggningsinformation i den läckta listan i vanlig text.

Efter att ha kommit i kontakt med Troy Hunt konstaterade Poloniex säkerhetsexperter att hela 90% av lösenorden från listan redan fanns i databasen Have I Been Pwned. Hunt har redan resten av uppgifterna och kommer snart att ladda dem i sin varningstjänst för dataöverträdelse.

Med andra ord försökte Poloniex säkerhetsspecialister att skydda sina kunder från en legitim stoppningsattack.

Något bättre avslöjande skulle ha gjort skillnaden

Att få tag på en betydande mängd stulna inloggningsdata är enklare än någonsin, vilket innebär att referensstoppningsattacker blir allt vanligare. Poloniex förtjänar en klapp på ryggen för att hjälpa sina kunder att skydda sig mot detta specifika hot. Det måste emellertid sägas att en mer detaljerad redogörelse för vad som pågick och en lite bättre timing skulle ha sparat användarna mycket huvudskrapning.

Alarmen adresserade till exempel inte användare med deras namn eller användarnamn och började istället med "Kära Poloniex-kund", som ofta betraktas som ett berättande tecken på ett phishing-e-postmeddelande. Utöver detta, när meddelandena skickades ut, fanns det inget medföljande blogginlägg som kunde kasta mer ljus på saken. Det kom inte ut förrän tre dagar senare, och under den tiden var det enda kunderna tvungen att gå förbi en tweet från Poloniexs supportkonto, som uppmanade dem att "återställa ditt lösenord för kontosäkerhet."

Som ni ser kan även de minsta misstag orsaka mycket förvirring, särskilt när säkerheten (och i detta fall kryptopengar) för många människor står på spel. Hela historien är ännu ett bevis på att avslöjandet av en säkerhetsrelaterad händelse ibland är lika viktigt som de åtgärder som vidtagits för att säkerställa att människor förblir säkra.

January 3, 2020

Lämna ett svar