BitMEX - утечка e-mail продолжение

Важное уведомление: утечка адресов электронной почты пользователей.

Пожалуйста, будьте осведомлены о попытках фишинга. Сообщения от BitMEX посылаются строго с адресов [email protected] и [email protected]. BitMEX ни при каких обстоятельствах не будет просить вас переводить средства или спрашивать ваши пароли.

Здравствуйте,

В пятницу 1 ноября в 06:00 UTC многие из наших пользователей получили сообщения, которые в поле “Кому” содержали адреса электронной почты других пользователей. Это была рассылка общего характера для информирования наших пользователей о планируемых изменениях в наших индексах (https://blog.bitmex.com/bitmex-indices-update-ru/).

В результате многие email-адреса пользователей BitMEX, включая большое количество неактивных адресов, были частично разглашены другим пользователям небольшими разрозненными фрагментами. Никакая другая информация о пользователях не была разглашена.

Мы приносим извинения за беспокойство, вызванное данным инцидентом. Данное сообщение предоставит вам информацию о том, что случилось и о том, чем мы сможем вам помочь.

Что случилось?

BitMEX — это глобальный бизнес, работа которого предполагает отправку электронных сообщений с помощью разных почтовых провайдеров. Сама по себе задача доставки информации является комплексной и включает в себя большое количество работы по созданию репутации отправителя и автоматических спам-фильтров. К сожалению, иногда это усложняет работу больших сервисов (таких как BitMEX): мы выполняем массовую рассылку всем пользователям только в редких случаях. Мы стараемся тревожить пользователей как можно реже и отправляем уведомления только в случае крайней необходимости.

Рассылка информации о планируемых изменениях в наших индексах (https://blog.bitmex.com/bitmex-indices-update-ru/) играла важную роль. Данное изменение окажет воздействие на все наши инструменты, и мы посчитали необходимым уведомить пользователей о данном обновлении. Управлять на глобальном уровне массовой рассылкой писем, такой как эта, — непростая задача. Некоторые провайдеры, особенно такие, как Yahoo и 163, имеют в наличии жесткие контрольные правила, которые часто применяются, когда мы посылаем большое количество писем нашим пользователям. Для системных уведомлений о снятии средств, сбросе паролей, ликвидациях очень важно гарантированное получение письма пользователем. Чтобы это реализовать мы построили свою систему для обработки отображения, перевода и масштабирования списка рассылки (чтобы не превышать лимиты запросов) важных писем. BitMEX не отправляла письма массового характера каждому клиенту с 2017 года, и многое изменилось с тех пор. Когда мы начали обрабатывать текущий список рассылки, мы поняли, что на завершение отправки писем по данному списку потребуется около 10 часов. У нашей команды было намерение сократить данное время, чтобы пользователи получили корреспонденцию в приемлемые временные промежутки.

Для решения вышеуказанной задачи внутренняя система была оперативно выстроена для отправки единичных вызовов к SendGrid API таким образом, чтобы отправка писем производилась списками по 1000 адресов за один раз. К сожалению, из-за жестких временных ограничений, данное изменение ПО не было подвергнуто нашей стандартной процедуре контроля и тестирования. Выявилось, что запрос к API объединяет все адреса в поле “Кому” в одну запись, вызвав тем самым утечку пользовательских email-адресов. Как только мы обнаружили проблему, отправка дальнейших писем была немедленно приостановлена и причина сбоя была выявлена.

BitMEX — компания, которая серьезно относится к разработке ПО, и мы разочарованы, что данное упущение привело к ненамеренной утечке пользовательских данных (email-адресов). Мы считаем, что не разработчики, а производственные процессы стали причиной инцидента. Именно производственные процессы послужили причиной в данном случае. Мы круглосуточно работаем над их улучшением. Впредь самое простое изменение кода будет подвергнуто строгому тестированию.

Также произошел другой инцидент, не относящийся к теме данного сообщения. Twitter-аккаунт BitMEX был кратковременно перехвачен лицом, которое нам уже известно. Мы восстановили полный контроль над Twitter-аккаунтом в течении 6 минут и обезопасили его.

Помимо email-адресов, никакая другая персональная информация не была разглашена. Также наши основные системы не были подвергнуты какому-либо риску.

Кто был затронут?

Большинство пользователей BitMEX были затронуты данным инцидентом. Вы можете проверить, попали ли вы под воздействие инцидента, используя инструкцию ниже:

Если вы получили сообщение об изменениях индекса и в поле “Кому” содержится только один email-адрес, то вы не были затронуты.
Если вы получили сообщение об изменении индекса и увидели другие адреса в поле “Kому”, то вы были затронуты.
Если вы получили это письмо, но не письмо об изменениях индекса, то вы предположительно были затронуты. В то время, как система отправки была аварийно отключена, многие получатели отметили письма как спам, возможно, из-за разочарования либо в попытке остановить дальнейшую входящую корреспонденцию. Это привело к сбоям доставки на некоторых хостах (серверах). К сожалению, если вы не получали писем, это не означает, что ваш email не получили другие.
Сбои в доставке также привели к задержкам с доставкой писем о сбросе паролей на несколько часов. Наши технические команды устранили неполадку до 6 часов утра UTC 2 ноября.
Что мы делаем для оказания помощи пользователям?

После обнаружения утечки персонал BitMEX работал всю ночь и весь следующий день над уменьшением пользовательских рисков. Мы в курсе, что многие пользователи используют свои email-адреса и в других сервисах. Данный факт, комбинированный с тенденцией у человека использовать одни и те же пароли, означал, что многие наши пользователи подверглись риску на других платформах, в том числе, не имеющих отношения к криптовалютам.

В связи с вышесказанным, мы предприняли следующие шаги после уведомления пользователей об утечке email-адресов:

Наша служба безопасности и служба поддержки начали расширенный мониторинг пользовательских учетных записей на предмет подозрительной активности после утечки.
В 13:00 UTC была проведена дополнительная проверка безопасности выводов наряду с нашей стандартной ручной проверкой выводов. Мы идентифицировали критерии, по которым могли быть выявлены подозрительные операции выводов. Мы отменили заявки на выводы, которые были произведены:
С аккаунтов без двухфакторной аутентификации.
С использованием ранее не встречавшегося у данной учетной записи Bitcoin-адреса кошелька вывода.
С использованием ранее не встречавшегося у данной учетной записи IP-адреса.
Сразу после инцидента утечки.
Все другие выводы затронуты не были и были обработаны в обычном режиме. Вышеуказанные действия были предприняты в интересах защиты соответствующих пользователей, затронутых инцидентом, с которыми мы уже связались.

Как только стало ясно, что несколько групп злоумышленников работают вместе для объединения разрозненных фрагментов и списков, инженеры BitMEX инициировали сброс паролей для всех учетных записей без двухфакторной аутентификации. Затронутые пользователи были уведомлены по email (после устранения бага отправки писем).
Служба поддержки BitMEX (обратная связь — www.bitmex.com/app/support/contact) работает в расширенном режиме, продолжая обрабатывать заявки пользователей об изменении email адресов, отвечая на вопросы и консультируя пользователей по вопросам безопасности.
Если вы обеспокоены компрометацией персональных данных на BitMEX или других сервисах, пожалуйста, установите двухфакторную аутентификацию на всех критичных сервисах, начиная в первую очередь с вашей электронной почты. BitMEX ранее опубликовало объявление на эту тему ( blog.bitmex.com/ru-ru-important-security-advisory-update-june-2019/ ), как и другие источники, включая руководство Пола Стаматоу ( paulstamatiou.com/getting-started-with-security-keys/# )

Технические команды BitMEX работают над новым функционалом с целью увеличения количества опций безопасности, поддерживаемых на платформе, улучшением сигнальных свойств уведомлений учетных записей и новыми инструментами противодействия перехвату аккаунтов для пользователей.

Требуются ли от меня какие либо действия?

Несмотря на то, что ни персональная информация, ни детали аккаунта за исключением адреса электронной почты не были разглашены, мы просим вас:

Будьте бдительны на счет попыток фишинга. Сообщения от BitMEX отправляются только с адресов [email protected] и [email protected]. Мы советуем внести эти адреса в список зарегистрированных адресов. Мы ни в каких ситуациях не будем просить вас предоставить ваш пароль.
Отметьте, что BitMEX не при каких обстоятельствах не будет просить вас переводить средства. Единственным способом пополнения аккаунта на ваш аккаунт BitMEX является перевод средств на уникальный депозитный адрес BitMEX, который начинается с префиксов “3BMEX” или “3BitMEX”. Вы можете найти ваш BitMEX адрес на странице “Депозит” www.bitmex.com/app/deposit
Пожалуйста, ознакомьтесь со списком наших официальных средств коммуникации. Следует принимать во внимание только инструкции, опубликованные в вышеуказанных источниках.
Убедительная просьба защищать ваши аккаунты посредством использования надежных и уникальных паролей. Включите двухфакторную аутентификацию (2FA) аккаунта (на почте и на аккаунте BitMEX) и используйте менеджер паролей.
Мы бы хотели повторно заверить вас в том, что никакая персональная информация пользователей (за исключением email-адресов) не подверглась утечке. Все наши системы находятся в полной безопасности. Мы продолжаем работу над средствами дополнительной безопасности наших пользователей и платформы. Сохранение вашего права на конфиденциальность и ваша безопасность являются наивысшим приоритетом BitMEX.

С уважением,
Vivien Khoo,
Deputy Chief Operating Officer.