憑據洩漏後，Poloniex加密貨幣交換的用戶將強制執行密碼重置

昨天，我們寫了一篇針對拉丁美洲的PayPal用戶的近期網絡釣魚活動 。我們討論了網絡釣魚者如何經常愚弄受害者，使他們以為有人試圖竊取他們的帳戶。想法是，隨之而來的恐慌將減少用戶注意到他們被騙的機會。儘管這種方法非常有效，但現在已經相當普遍了，並且很多人都知道。實際上，如此之多，以至於當一些Poloniex用戶收到與其帳戶安全性相關的電子郵件時，他們就相當懷疑了。

意外的電子郵件警報引起了一些注意

根據消息，由於在Twitter上到處都是電子郵件地址和密碼的列表，加密貨幣交易所正在與客戶聯繫。電子郵件中說，交易平台的安全團隊掌握了這份名單，對其進行了分析，並確定其中一些地址與Poloniex帳戶相關聯。收到該消息的用戶被告知，他們的地址在該列表中，並且出於謹慎考慮，Poloniex強制為其帳戶重置密碼。儘管沒有鏈接將其重定向到登錄頁面，但一些用戶立即認為他們處於網絡釣魚攻擊的接收端。

他們在社交媒體上表達了他們的擔憂 ，許多其他人也同意該信息看起來有些可疑。但是，在12月30日，Poloniex的支持小組證實了該電子郵件是真實的。

Poloniex告訴我們發生了什麼事

儘管Poloniex發出了一條推文，但仍有一些人感到困惑，昨天，該加密貨幣交易所終於決定發表一篇中級帖子，並分享有關此事的更多細節。該帖子說，大約1％的交易平台客戶收到了電子郵件警報。如前所述，Poloniex與他們聯繫是因為他們的電子郵件地址是在12月下旬進行的這些洩漏的登錄憑據列表中找到的。

至關重要的是，數據並未從Poloniex那裡竊取。加密貨幣交易所的安全專家檢查了他們的系統，沒有發現數據洩露的證據。此外，他們在“中型”帖子和電子郵件中都提到將密碼存儲為鹽醃的bcrypt散列。相比之下，洩漏列表中的所有登錄信息都是純文本格式。

與Troy Hunt聯繫後，Poloniex的安全專家發現該列表中多達90％的密碼已經存在於“ 我被擁有了”數據庫中。 Hunt已經擁有其餘數據，並將很快將其加載到他的數據洩露警報服務中。

換句話說，Poloniex的安全專家試圖保護其客戶免受憑證填充攻擊 。

稍好一點的披露將使一切都不同

掌握大量失竊的登錄數據比以往任何時候都容易，這意味著憑證填充攻擊變得越來越頻繁。 Poloniex值得一提，因為它可以幫助客戶保護自己免受這種特殊威脅。但是，必須說，對所發生的事情進行更詳細的說明，並且時機稍微好一些，可以為用戶省去很多麻煩。

例如，該警報未使用用戶名或用戶名來尋址用戶，而是以“尊敬的Poloniex客戶”開頭，該客戶通常被視為網絡釣魚電子郵件的明顯標誌。除此之外，在發送消息時，沒有伴隨的博客文章可以進一步闡明此事。直到三天后它才問世，在那段時間內，客戶唯一需要經過的是Poloniex支持帳戶的一條推文，該推文敦促他們“重置密碼以確保帳戶安全”。

如您所見，即使是最小的錯誤也可能引起很多混亂，尤其是當許多人的安全（在這種情況下，是加密貨幣）處於危險之中時。整個故事再次證明，與安全相關的事件的披露有時與確保人員安全的行動同樣重要。