憑據洩漏後,Poloniex加密貨幣交換的用戶將強制執行密碼重置

Poloniex Password Reset

昨天,我們寫了一篇針對拉丁美洲的PayPal用戶的近期網絡釣魚活動 。我們討論了網絡釣魚者如何經常愚弄受害者,使他們以為有人試圖竊取他們的帳戶。想法是,隨之而來的恐慌將減少用戶注意到他們被騙的機會。儘管這種方法非常有效,但現在已經相當普遍了,並且很多人都知道。實際上,如此之多,以至於當一些Poloniex用戶收到與其帳戶安全性相關的電子郵件時,他們就相當懷疑了。

意外的電子郵件警報引起了一些注意

根據消息,由於在Twitter上到處都是電子郵件地址和密碼的列表,加密貨幣交易所正在與客戶聯繫。電子郵件中說,交易平台的安全團隊掌握了這份名單,對其進行了分析,並確定其中一些地址與Poloniex帳戶相關聯。收到該消息的用戶被告知,他們的地址在該列表中,並且出於謹慎考慮,Poloniex強制為其帳戶重置密碼。儘管沒有鏈接將其重定向到登錄頁面,但一些用戶立即認為他們處於網絡釣魚攻擊的接收端。

他們在社交媒體上表達了他們的擔憂 ,許多其他人也同意該信息看起來有些可疑。但是,在12月30日,Poloniex的支持小組證實了該電子郵件是真實的。

Poloniex告訴我們發生了什麼事

儘管Poloniex發出了一條推文,但仍有一些人感到困惑,昨天,該加密貨幣交易所終於決定發表一篇中級帖子,並分享有關此事的更多細節。該帖子說,大約1%的交易平台客戶收到了電子郵件警報。如前所述,Poloniex與他們聯繫是因為他們的電子郵件地址是在12月下旬進行的這些洩漏的登錄憑據列表中找到的。

至關重要的是,數據並未從Poloniex那裡竊取。加密貨幣交易所的安全專家檢查了他們的系統,沒有發現數據洩露的證據。此外,他們在“中型”帖子和電子郵件中都提到將密碼存儲為鹽醃的bcrypt散列。相比之下,洩漏列表中的所有登錄信息都是純文本格式。

與Troy Hunt聯繫後,Poloniex的安全專家發現該列表中多達90%的密碼已經存在於“ 我被擁有了”數據庫中。 Hunt已經擁有其餘數據,並將很快將其加載到他的數據洩露警報服務中。

換句話說,Poloniex的安全專家試圖保護其客戶免受憑證填充攻擊

稍好一點的披露將使一切都不同

掌握大量失竊的登錄數據比以往任何時候都容易,這意味著憑證填充攻擊變得越來越頻繁。 Poloniex值得一提,因為它可以幫助客戶保護自己免受這種特殊威脅。但是,必須說,對所發生的事情進行更詳細的說明,並且時機稍微好一些,可以為用戶省去很多麻煩。

例如,該警報未使用用戶名或用戶名來尋址用戶,而是以“尊敬的Poloniex客戶”開頭,該客戶通常被視為網絡釣魚電子郵件的明顯標誌。除此之外,在發送消息時,沒有伴隨的博客文章可以進一步闡明此事。直到三天后它才問世,在那段時間內,客戶唯一需要經過的是Poloniex支持帳戶的一條推文,該推文敦促他們“重置密碼以確保帳戶安全”。

如您所見,即使是最小的錯誤也可能引起很多混亂,尤其是當許多人的安全(在這種情況下,是加密貨幣)處於危險之中時。整個故事再次證明,與安全相關的事件的披露有時與確保人員安全的行動同樣重要。

January 3, 2020

發表評論