凭证泄漏后，Poloniex加密货币交换的用户将被强制重置密码

昨天，我们写了一篇针对拉丁美洲的PayPal用户的近期网络钓鱼活动 。我们讨论了网络钓鱼者如何经常愚弄受害者，使他们以为有人试图窃取他们的帐户。想法是，随之而来的恐慌将减少用户注意到他们被骗的机会。尽管这种方法非常有效，但现在已经相当普遍了，并且很多人都知道。实际上，如此之多，以至于当一些Poloniex用户收到与其帐户安全性相关的电子邮件时，他们就相当怀疑。

意外的电子邮件警报引起了一些注意

根据消息，由于在Twitter上到处都是电子邮件地址和密码的列表，加密货币交易所正在与客户联系。电子邮件中说，交易平台的安全团队掌握了这份名单，对其进行了分析，并确定其中一些地址与Poloniex帐户相关联。收到该消息的用户被告知，他们的地址在该列表中，并且出于谨慎考虑，Poloniex强制为其帐户重置密码。尽管没有链接将其重定向到登录页面，但一些用户立即认为他们处于网络钓鱼攻击的接收端。

他们在社交媒体上表达了他们的担忧 ，许多其他人也同意该信息看起来有些可疑。但是，在12月30日，Poloniex的支持小组证实了该电子邮件是真实的。

Poloniex告诉我们发生了什么事

尽管Poloniex发出了一条推文，但仍有一些人感到困惑，昨天，该加密货币交易所终于决定发表一篇中级帖子，并分享有关此事的更多细节。该帖子说，大约1％的交易平台客户收到了电子邮件警报。如前所述，Poloniex与他们联系是因为他们的电子邮件地址是在12月下旬进行的这些泄漏的登录凭据列表中找到的。

至关重要的是，数据并未从Poloniex那里窃取。加密货币交易所的安全专家检查了他们的系统，没有发现数据泄露的证据。此外，他们在“中型”帖子和电子邮件中都提到将密码存储为盐腌的bcrypt散列。相比之下，泄漏列表中的所有登录信息都是纯文本格式。

与Troy Hunt联系后，Poloniex的安全专家发现该列表中多达90％的密码已经存在于“ 我被拥有了”数据库中。 Hunt已经拥有其余数据，并将很快将其加载到他的数据泄露警报服务中。

换句话说，Poloniex的安全专家试图保护其客户免受凭证填充攻击 。

稍好一点的披露将使一切都不同

掌握大量失窃的登录数据比以往任何时候都容易，这意味着凭证填充攻击变得越来越频繁。 Poloniex值得一提，因为它可以帮助客户保护自己免受这种特殊威胁。但是，必须说，对所发生的事情进行更详细的说明，并且时机稍微好一些，可以为用户省去很多麻烦。

例如，该警报未使用用户名或用户名来寻址用户，而是以“尊敬的Poloniex客户”开头，该客户通常被视为网络钓鱼电子邮件的明显标志。除此之外，在发送消息时，没有随附的博客文章可以进一步阐明此事。直到三天后它才问世，在那段时间内，客户唯一需要经过的是Poloniex支持帐户的一条推文，该推文敦促他们“重置密码以确保帐户安全”。

如您所见，即使是最小的错误也可能引起很多混乱，尤其是当许多人的安全（在这种情况下，是加密货币）处于危险之中时。整个故事再次证明，与安全相关的事件的披露有时与确保人员安全的行为同样重要。