Vào ngày 1/11, sàn giao dịch nổi tiếng BitMEX đã vô tình làm rò rỉ dữ liệu nhạy cảm liên quan đến người dùng của mình. Nguyên nhân là do công ty không áp dụng giao thức sao chép mù cho hàng loạt các máy chủ gửi thư.
Vụ việc đã được công ty thừa nhận chỉ vài giờ sau đó. Theo phó giám đốc điều hành Vivien Khoo của BitMEX, BitMEX đã vô tình gửi tin nhắn có chứa địa chỉ email của người dùng trong trường “to” thay vì “bcc” đến hầu hết người dùng khác. Cụ thể:
“Chúng tôi vô cùng xin lỗi vì đã khiến người dùng phải lo lắng. Sự cố xảy ra do lỗi phần mềm được sử dụng để gửi email. Ngay sau khi phát hiện sự cố, chúng tôi đã ngay lập tức ngăn chặn các email tiếp theo; từ đó, vấn đề đã được giải quyết và đảm bảo điều này không xảy ra lần nữa”.
Tồi tệ hơn, các tin tặc chưa xác định danh tính đã giành quyền kiểm soát tài khoản Twitter chính thức của BitMEX trong một thời gian ngắn sau khi bị rò rỉ. Trong lúc đó, bọn tội phạm đã đăng một số lời nhắn như “Mau chóng rút BTC. Ngày cuối cùng để rút tiền” và “đã bị hack” trên live feed của công ty.
Đáp lại, nhóm PR của BitMEX đã nhanh chóng xóa các tin nhắn này và tuyên bố vụ hack không hề gây nguy hiểm cho tiền của khách hàng. Trong khi đó, tài khoản Twitter Bitmexdatabaseleak xuất hiện sau vụ hack nói trên bị cáo buộc làm rò rỉ một loạt dữ liệu khách hàng, như ID người dùng cá nhân và email của nhiều khách hàng BitMEX. Tuy nhiên, hiện tài khoản đã bị đóng.
Theo Larry Cermak, giám đốc nghiên cứu của The Block, sai lầm dữ liệu gần đây của BitMEX trùng hợp với sự xuất hiện của một kho email khoảng 30.000 địa chỉ trên dark web. Điều này khiến mọi người tin rằng một số hoặc tất cả dữ liệu khách hàng bị rò rỉ có thể đã được bán trực tuyến cho các bên thứ ba bất hợp pháp.
There is already a 30k email dump selling on darknet. For any user that was involved in this leak, get ready for constant phishing attempts and emails from competitors. Be careful
— Larry Cermak (@lawmaster) November 1, 2019
“Hiện đã có một kho 30k email được bán trên darknet. Bất kỳ người dùng nào có liên quan đến rò rỉ này nên đề phòng các hoạt động và email lừa đảo liên tục từ các đối thủ cạnh tranh. Hãy cẩn thận”.
BitMEX tiếp tục vô hiệu hóa tạm thời hoạt động rút tiền đối với những khách hàng đã thay đổi mật khẩu tài khoản hoặc chi tiết bảo mật sau vụ rò rỉ địa chỉ email. Tại thời điểm viết bài, sàn giao dịch vẫn chưa đưa ra bình luận nào khác.
Only applies to people who changed passwords or security settings after the email address leak https://t.co/aqeszEUgxx
— Alistair Milne (@alistairmilne) November 1, 2019
“Chỉ áp dụng cho những người đã thay đổi mật khẩu hoặc cài đặt bảo mật sau khi rò rỉ địa chỉ email”.
Số lượng rút Bitcoin trên BitMEX không bị ảnh hưởng
Sau một sai sót lớn về bảo mật như vậy, thật hợp lý khi cho rằng BitMEX sẽ phải đối mặt với một số phản ứng dữ dội từ khách hàng. Tuy nhiên, theo dữ liệu trực tuyến, dường như tổng số BTC được rút từ nền tảng giao dịch vào ngày 1/11 – một ngày sau khi email bị rò rỉ – vẫn không bị ảnh hưởng nhiều.
There has been no significant decrease in Bitmex balances over the weekend.
The market has taken the email leaks in stride without undue fretting. pic.twitter.com/dzMqhn4Upb
— Light (@LightCrypto) November 3, 2019
“Số dư của Bitmex không sụt giảm đáng kể vào cuối tuần. Vụ rò rỉ email không gây lo ngại cho người dùng”.
Jeffery Liu Xun, giám đốc điều hành của cổng fiat ngang hàng XanPool, cũng chia sẻ suy nghĩ của mình về việc một công ty tầm cỡ như BitMEX lại cho phép xảy ra sai lầm như vậy:
“Trước đây, tôi từng nhận được các email của Bitmex, nhưng chưa từng gặp vấn đề như vậy. Điều này có thể là do một nhân viên marketing mới của công ty đã mắc lỗi lớn hoặc nhà cung cấp dịch vụ gửi thư hàng loạt của họ gây rối. Tôi nghĩ rất có thể là nguyên nhân thứ nhất vì các dịch vụ như MailChimp chưa từng mắc phải những sai lầm tương tự. Vụ việc lần này chắc chắn không thể dễ dàng được bỏ qua”.
Ngoài ra, ông còn nói về rủi ro quyền riêng tư do thông tin bị rò rỉ. Các đối thủ của BitMEX hiện có thể gửi email hàng loạt cho khách hàng để cố gắng xâm phạm tài sản của họ. Rủi ro thứ hai nguy hiểm hơn ở chỗ phần lớn mọi người sử dụng các sàn giao dịch không sử dụng mật khẩu phức tạp, vì vậy các tin tặc tinh vi giờ đây có thể thông qua kho lưu trữ mật khẩu của họ để cố gắng truy cập vào ví người dùng thiếu cảnh giác bằng một loạt các kỹ thuật xâm nhập kết hợp. Xun bình luận:
“Hành vi công khai email của người dùng không khác gì công khai mật khẩu của họ, vì hacker có kho lưu trữ mật khẩu lớn mà mọi người có xu hướng sử dụng. Cuối cùng, làm lộ email người dùng sẽ tạo cơ hội cho các cuộc tấn công spam và lừa đảo”.
Quan điểm của Xun được nhà đầu tư Craig Russo và cũng là chủ sở hữu startup Peer có trụ sở tại Boston – là công ty chủ quản của hãng thông tấn xã SludgeFeed nổi tiếng – hết sức ủng hộ. Theo Russo, toàn bộ sự việc này là một lỗ hổng bảo mật khủng khiếp trên BitMEX và sẽ được dẫn chứng để chống lại sàn giao dịch mỗi khi liên quan đến bất kỳ cuộc tranh cãi nào trong tương lai. Cụ thể:
“Niềm tin là tối quan trọng trong ngành công nghiệp này và một vụ bê bối dữ liệu như vậy có thể sẽ kéo dài trong một thời gian. Tôi nghĩ rằng sắp tới sẽ có một số nhà đầu tư rời khỏi nền tảng, nhưng nhìn chung, BitMEX có thể phục hồi sau sự cố do thị phần và tài nguyên của họ”.
Chuyện gì sẽ đến với BitMEX và người dùng?
Bất cứ khi nào có sai sót bảo mật, điều cực kỳ quan trọng là công ty phải thực hiện các biện pháp khắc phục ngay lập tức để đảm bảo niềm tin của khách hàng vẫn không bị lay chuyển.
Về vấn đề này, BitMEX đã đăng tải bài viết trên blog vào hôm thứ 2 và thừa nhận mặc dù các quy trình nội bộ thực sự mắc sai lầm vào tuần trước nhưng tình huống đã được khắc phục nhờ hệ thống phát hiện lỗi in-house mới được phát minh có khả năng xử lý kết xuất cần thiết, chuyển ngữ, dàn dựng và gửi từng phần các email quan trọng.
Theo nhà cung cấp dữ liệu Skew, thông tin cá nhân của 22.000 người dùng BitMEX có thể đã bị lộ trực tuyến. Theo Dovey Wan của Primitive Crypto, sự cố này có thể khiến chính phủ Hoa Kỳ sử dụng các địa chỉ email bị rò rỉ để điều tra hồ sơ thuế của nhiều người dùng liên kết với BitMEX. Sàn giao dịch hiện không đăng ký với Ủy ban giao dịch hàng hóa tương lai CFTC, và do đó, người Mỹ bị hạn chế tham gia vào nền tảng này.
BitMEX has ~22k average daily users for those trying to benchmark the extent of the email leak pic.twitter.com/ygtjqbhyOD
— skew (@skewdotcom) November 1, 2019
Ngoài ra, IRS đã phát hành bộ quy tắc mới yêu cầu chủ sở hữu tiền điện tử báo cáo chi tiết tất cả các khoản crypto. Holder tiền điện tử hiện đang bị đánh thuế thặng dư vốn (cũng như các hình thức thu nhập khác) mà họ có được thông qua sàn giao dịch hoặc việc sở hữu các tài sản kỹ thuật số đó.
Cuối cùng, liên quan đến việc BitMEX có gặp phải các vấn đề pháp lý do sự cố này hay không, Aaron Wagener, đồng sáng lập và giám đốc điều hành của mạng dữ liệu phi tập trung toàn cầu MXC Foundation, cho biết do các điều khoản và điều kiện của BitMEX tại thời điểm khách hàng chấp nhận sử dụng dịch vụ, để chứng minh cho các hành động pháp lý tiềm năng chống lại công ty là điều vô cùng khó khăn.
Bên cạnh đó, vì tình huống rõ ràng xảy ra do thiếu phán đoán của con người nên vấn đề gây chú ý hơn cả vào lúc này là khả năng đảm bảo sự an toàn cho người dùng của BitMEX, đặc biệt là khi thông tin này đã xâm nhập vào phạm vi công cộng. Wagener tiếp tục:
“Rất khó để nói rằng vấn đề đã được khắc phục. Người dùng đang bị email lừa đảo và spam từ nhiều nguồn khác nhau đe dọa tiềm ẩn. Sự cố này vẫn là ‘cái gai trong mắt’ họ trong thời gian tới”.
Tuy nhiên, Ray Walsh, một chuyên gia về quyền riêng tư kỹ thuật số của nền tảng giáo dục ProPrivacy, tin rằng theo Quy định bảo vệ dữ liệu chung, công ty có thể phải đối mặt với các khoản tiền phạt lớn. Không chỉ vậy, ông còn chỉ ra rằng Ủy ban Thương mại Liên bang rất có thể bắt đầu điều tra hoặc người dùng BitMEX quyết định theo đuổi vụ kiện tập thể chống lại công ty để xử lý các thiệt hại dữ liệu cá nhân. Walsh nhấn mạnh thêm rằng dường như dữ liệu đã bị lạm dụng:
“Sau khi bị rò rỉ, người dùng BitMEX đã nhận được những email bất thường và có vẻ như những email đó là kết quả của sự cố. Dường như các địa chỉ email bị rò rỉ đã được bán trên dark web, có nghĩa là các tin tặc tinh vi hiện đang cố gắng lừa phỉnh lấy mật khẩu của mọi người để đánh cắp tiền điện tử”.
- BitMEX cập nhật các chỉ số giá BTC để loại bỏ các giao dịch thiếu
- Nghi vấn tài khoản Twitter của BitMEX bị hack sau phốt rò rỉ email, trader Bitcoin có nguy cơ bị ‘phơi bày’ danh tính
Thùy Trang
Tạp chí Bitcoin | Cointelegraph
