Ошибка в коде внутренней системы биткоин-биржи BitMEX для массовых email-рассылок привела к раскрытию адресов электронных почт пользователей. Другие персональные данные раскрыты не были.
В пятницу, 1 ноября, большинство пользователей площадки получили письмо с уведомлением об изменениях в расчете индексов для ценообразования деривативных продуктов. Однако в поле «To:» биржа раскрыла адреса других получателей.
Рассылка проводилась пачками по 1000 человек. Соответственно каждое письмо раскрыло по 1000 адресов.
Некоторые пользователи получили корректные уведомления без компрометации данных или вообще не получили письмо.
После инцидента служба безопасности выявила несколько аккаунтов, осуществляющих подозрительную активность. Их владельцы вынуждены были сменить пароли и в некоторых случаях пройти дополнительную проверку в службе поддержки.
Биржа почти сразу закрыла вывод для аккаунтов:
- без двухфакторной аутентификации;
- выводящих средства после компрометации адресов;
- выводящих средства на неизвестные ранее биткоин-адреса;
- входящих с неизвестных ранее IP-адресов.
В BitMEX настоятельно попросили всех пользователей установить 2FA на почту и биржевой аккаунт.
Представители организации также пояснили, что вскоре после инцидента неизвестный установил контроль над Twitter-страницей биржи на шесть минут.
Напомним, в июле СМИ сообщили, что CFTC начала расследование в отношении BitMEX.
Источник: forklog.com