BitMEX, trên các sàn giao dịch tiền điện tử phái sinh lớn nhất thế giới, đã rò rỉ địa chỉ email của hàng ngàn người dùng. Theo báo cáo, các địa chỉ bị rò rỉ trong một bản cập nhật email được gửi đến người dùng, trong đó sàn giao dịch đã sử dụng bản Carbon Copy (CC) thay vì bản Blind Carbon Copy (BCC) khi liệt kê danh sách người nhận.
CEO Bitmex Arthur Hayes
BitMEX để lộ địa chỉ email khách hàng, là “một viêc làm quá vô trách nhiệm, thể hiện sự kém cỏi và không thể tưởng tượng được”
Thông thường, thông tin cá nhân bị rò rỉ là do các cuộc tấn công có mục đích xấu từ bên ngoài. Tuy nhiên, hiện tại, một trong những nền tảng giao dịch tiền điện tử phái sinh lớn nhất thế giới đã chứng minh rằng rò rỉ cũng có thể đến từ nội bộ bên trong. BitMEX, nơi cung cấp đòn bẩy margin x100 đã vô tình để lộ email của hàng ngàn người dùng bằng cách chọn sai công cụ email.
Vào ngày 1/11, sàn giao dịch này đã gửi một bản cập nhật thường xuyên về các thay đổi đối với các chỉ số trên các sản phẩm của mình, trong đó họ đã chia sẻ email của hàng ngàn người dùng. Nhiều báo cáo nhanh chóng lưu hành trên Twitter, và người dùng BitMEX nói rằng họ có thể thấy rõ những người khác trong danh sách gửi thư của BitMEX.
Luật sư Jake Chervinsky chia sẻ ảnh chụp màn hình với các địa chỉ email đã được làm mờ, nói rằng BitMex quá vô trách nhiệm, kém cỏi và ngu xuẩn một cách không thể tưởng tượng nổi.
Sàn giao dịch sau đó đã nhanh chóng đưa ra lời xin lỗi, nói rằng đội nhóm của họ đã ngay lập tức ngăn chặn nó.
Và một bài đăng trên blog của công ty cũng viết rằng “bảo mật thông tin người dùng là ưu tiên hàng đầu và chúng tôi thành thật xin lỗi khi đã gây ra cho các bạn sự lo lắng này”.
Sự sai lầm của con người có khả năng đe dọa đến bảo mật của hàng ngàn người dùng BitMEX
Tuy nhiên, hầu như không ai cảm thấy xúc động trước lời xin lỗi của BitMEX, nhiều người dùng nói rằng toàn bộ cơ sở dữ liệu email đã bị tấn công. Danh sách gửi thư của BitMEX dường như được chia thành nhiều nhóm, điều đó có nghĩa là hầu hết người dùng chỉ nhận được một phần địa chỉ trong danh sách.
Điều này, như nhiều người đã đề cập, không phải do lỗi phần mềm hoặc một cuộc tấn công độc hại (malicious attacks), đây là lỗi gây ra bởi con người. Những người chịu trách nhiệm gửi bản cập nhật đã sử dụng CC, thay vì BCC trong email. Do đó, những người nhận được email đã nhìn thấy tất cả địa chỉ email của những người dùng khác.
Và mặc dù điều này có vẻ như không có gì khác ngoài một tai nạn, địa chỉ email được coi là thông tin nhạy cảm, đó là lý do tại sao nhiều người lập luận rằng bảo mật của người dùng BitMEX đã bị ảnh hưởng nghiêm trọng.
Kevin McSheehan, Giám đốc điều hành của công ty đánh giá bảo mật Envadr, trong một bài đăng trên Twitter, ông cho rằng các địa chỉ email bị rò rỉ có thể bị cross-referenced với các vi phạm công khai khác và liên quan đến mật khẩu phổ quát. Điều này sẽ cho phép những người khác cố tấn công thử và xâm nhập vào tài khoản của người dùng trên sàn giao dịch.
Các sàn giao dịch tiền điện tử khác cũng cho rằng đây là vi phạm bảo mật nghiêm trọng.
OKEx khuyên người dùng bị ảnh hưởng thay đổi thông tin nếu có tài khoản OKEx với cùng email đăng nhập như họ đã làm trên BitMEX.
Binance cũng nói với người dùng của mình thay đổi thông tin đăng nhập để tránh thiệt hại thêm. Changpeng Zhao, CEO của sàn giao dịch, trên Twitter đã kêu gọi người dùng luôn sử dụng một địa chỉ email duy nhất và mật khẩu duy nhất cho mỗi sàn giao dịch.
Khoảng 200 mật khẩu Cleartext tiềm năng cho các email bị rò rỉ đã được xác định bởi người dùng Twitter, TheMask, với sự trợ giúp của cơ sở dữ liệu mật khẩu văn bản đơn giản.
TheMask chia sẻ rằng ông sẽ gửi email cho tất cả người dùng có mật khẩu mà ông có thể xác định và cảnh báo về vi phạm.
Larry Cermak, giám đốc nghiên cứu của TheBlock, nói rằng ông đã truy cập vào khoảng 3.000 địa chỉ email, nhưng lưu ý rằng 30.000 trong số đó có thể đã bị xâm phạm do rò rỉ. Trong một bài viết dài trên Twitter, Cermak nói rằng chính sách của BitMEX khi thay đổi email đã bị sai sót nghiêm trọng, khi mà sàn giao dịch yêu cầu người dùng phải hoàn tất xác minh ID để thay đổi thông tin đăng nhập của họ.
Có vẻ như chính BitMEX đã gặp phải sự cố, vì tài khoản Twitter chính thức của sàn giao dịch dường như đã bị hack.
“Hãy cầm lấy BTC của bạn và đi đi. Hôm nay là ngày cuối cùng để rút tiền” được đăng lên tài khoản Twitter, tuy nhiên sau đó đã bị xóa, còn sàn BitMEX thì vô hiệu hóa quá trình rút tiền.
Cermak cũng đăng một hình ảnh về thông báo mà anh ta đã nhận được khi cố gắng rút tiền từ tài khoản BitMEX của mình. Nhiều người dùng cho rằng điều này cực kỳ đáng ngờ vì có thể exchange này đã không tiết lộ con số rò rỉ thực sự.
- Nghi vấn tài khoản Twitter của BitMEX bị hack sau phốt rò rỉ email, trader Bitcoin có nguy cơ bị ‘phơi bày’ danh tính
- BitMEX cập nhật các chỉ số giá BTC để loại bỏ các giao dịch thiếu
- Giá Bitcoin pump ngay sau khi email của BitMEX bị rò rỉ
Hanna
Tạp Chí Bitcoin | Cryptoslate
