凭证泄漏后,Poloniex加密货币交换的用户将被强制重置密码

Poloniex Password Reset

昨天,我们写了一篇针对拉丁美洲的PayPal用户的近期网络钓鱼活动 。我们讨论了网络钓鱼者如何经常愚弄受害者,使他们以为有人试图窃取他们的帐户。想法是,随之而来的恐慌将减少用户注意到他们被骗的机会。尽管这种方法非常有效,但现在已经相当普遍了,并且很多人都知道。实际上,如此之多,以至于当一些Poloniex用户收到与其帐户安全性相关的电子邮件时,他们就相当怀疑。

意外的电子邮件警报引起了一些注意

根据消息,由于在Twitter上到处都是电子邮件地址和密码的列表,加密货币交易所正在与客户联系。电子邮件中说,交易平台的安全团队掌握了这份名单,对其进行了分析,并确定其中一些地址与Poloniex帐户相关联。收到该消息的用户被告知,他们的地址在该列表中,并且出于谨慎考虑,Poloniex强制为其帐户重置密码。尽管没有链接将其重定向到登录页面,但一些用户立即认为他们处于网络钓鱼攻击的接收端。

他们在社交媒体上表达了他们的担忧 ,许多其他人也同意该信息看起来有些可疑。但是,在12月30日,Poloniex的支持小组证实了该电子邮件是真实的。

Poloniex告诉我们发生了什么事

尽管Poloniex发出了一条推文,但仍有一些人感到困惑,昨天,该加密货币交易所终于决定发表一篇中级帖子,并分享有关此事的更多细节。该帖子说,大约1%的交易平台客户收到了电子邮件警报。如前所述,Poloniex与他们联系是因为他们的电子邮件地址是在12月下旬进行的这些泄漏的登录凭据列表中找到的。

至关重要的是,数据并未从Poloniex那里窃取。加密货币交易所的安全专家检查了他们的系统,没有发现数据泄露的证据。此外,他们在“中型”帖子和电子邮件中都提到将密码存储为盐腌的bcrypt散列。相比之下,泄漏列表中的所有登录信息都是纯文本格式。

与Troy Hunt联系后,Poloniex的安全专家发现该列表中多达90%的密码已经存在于“ 我被拥有了”数据库中。 Hunt已经拥有其余数据,并将很快将其加载到他的数据泄露警报服务中。

换句话说,Poloniex的安全专家试图保护其客户免受凭证填充攻击

稍好一点的披露将使一切都不同

掌握大量失窃的登录数据比以往任何时候都容易,这意味着凭证填充攻击变得越来越频繁。 Poloniex值得一提,因为它可以帮助客户保护自己免受这种特殊威胁。但是,必须说,对所发生的事情进行更详细的说明,并且时机稍微好一些,可以为用户省去很多麻烦。

例如,该警报未使用用户名或用户名来寻址用户,而是以“尊敬的Poloniex客户”开头,该客户通常被视为网络钓鱼电子邮件的明显标志。除此之外,在发送消息时,没有随附的博客文章可以进一步阐明此事。直到三天后它才问世,在那段时间内,客户唯一需要经过的是Poloniex支持帐户的一条推文,该推文敦促他们“重置密码以确保帐户安全”。

如您所见,即使是最小的错误也可能引起很多混乱,尤其是当许多人的安全(在这种情况下,是加密货币)处于危险之中时。整个故事再次证明,与安全相关的事件的披露有时与确保人员安全的行为同样重要。

January 3, 2020

发表评论