1. Home
  2. Aktualności
  3. Powiadomienia
  4. Incydent dotyczący bezpieczeństwa EXMO 2020: rozwiązany
Wrócić do Aktualności

Incydent dotyczący bezpieczeństwa EXMO 2020: rozwiązany

Po zeszłorocznym ataku złego aktora informujemy, że problem został całkowicie rozwiązany i wyciągnięto wnioski. Czytaj dalej, aby uzyskać więcej informacji.

10
680

Przegląd ataku

W grudniu 2020 r. EXMO stało się celem ataku hakerskiego na gorące portfele platformy wykorzystywane do transakcji wpłat i wypłat. Atak został natychmiast zidentyfikowany, co pozwoliło nam szybko zareagować i ograniczyć stratę na poziomie 5% całości aktywów.

Incydent dotyczący bezpieczeństwa został teraz całkowicie rozwiązany, a naszym użytkownikom zwrócono 100% środków.

Kroki odpowiedzi

Skupiamy się na ochronie naszych użytkowników przed wszelkimi zagrożeniami bezpieczeństwa, które mogą wykorzystywać luki w zabezpieczeniach, powodując utratę środków. Gdy wykryliśmy atak, zareagowaliśmy od razu, aby usunąć luki w zabezpieczeniach i powstrzymać atakujących przed powodowaniem większych szkód.

Natychmiastowe działania w celu wycięcia uszkodzeń

Po wykryciu ataku zawieszaliśmy wszystkie transakcje wypłat i wpłat, aby uniemożliwić złemu graczowi przelanie środków do swojego portfela.

Informowanie użytkowników

Stosując się do naszych zasad przejrzystości, opublikowaliśmy publiczny post na blogu, w którym szczegółowo opisano włamanie i jego konsekwencje. Komunikowaliśmy się również za pośrednictwem wszystkich naszych kanałów, aby zapewnić naszym użytkownikom natychmiastowe powiadomienie o incydencie.

Raportowanie zewnętrzne

Skontaktowaliśmy się z wiodącymi dostawcami analiz bezpieczeństwa i analiz łańcucha bloków, w tym Chain Analysis, Crystal i CipherTrace, aby zgłosić incydent związany z bezpieczeństwem. Portfel osoby atakującej otrzymał nazwę „EXMOHACKEDCUSTOMER”, a typ podmiotu został zmieniony na „Criminal” z wynikiem ryzyka wynoszącym 10 punktów, aby uniemożliwić mu przeprowadzanie dalszych transakcji.

Zgodziliśmy się prześledzić wszystkie transakcje hakera w ramach szeroko zakrojonego śledztwa organizacji i dostarczyliśmy dalsze aktualizacje na wypadek odkrycia jakichkolwiek nowych danych dotyczących incydentu.

Dochodzenie w sprawie ataku

Skontaktowaliśmy się z Poloniexem, który został wykorzystany przez atakującego do transakcji. Giełda potwierdziła, że zezwolili na rejestrację konta atakującego za pomocą anonimowego e-maila i że zezwolili na wiele transakcji, ponieważ nie uznali tego za podejrzane.

W następstwie naszych kolejnych próśb o dostarczenie dalszych informacji w celu przeprowadzenia dokładnego dochodzenia, giełda nie odpowiedziała. Zwróciliśmy się również bezpośrednio do Seychelles Central Bank i Seychelles Financial Intelligence Unit, które świadczą usługi dla Poloniex. EXMO poprosiło o pomoc i współpracę w odzyskaniu skradzionych zasobów cyfrowych; jednak nie otrzymaliśmy od nich również wiadomości.

Starając się wykryć lukę, która umożliwiła hakerom przeprowadzenie ataku hakerskiego, nawiązaliśmy współpracę z wiodącą w branży agencją specjalizującą się w badaniu naruszeń cyberbezpieczeństwa. Pomogli nam w zidentyfikowaniu słabości i znalezieniu rozwiązań zapobiegających kolejnym incydentom.

Zgłoszenie do organów ścigania

Oprócz przeprowadzenia dokładnego dochodzenia wewnętrznego poinformowaliśmy również odpowiednie agencje rządowe o tym incydencie:

  • Metropolitan Police w Londynie, Wielka Brytania.
  • Action Fraud, brytyjskie krajowe centrum zgłaszania oszustw i cyberprzestępczości.
  • Złożył „Raport o podejrzanej działalności” do Narodowej Agencji ds. Przestępczości.
  • Brytyjski Urząd ds. Postępowania Finansowego.

Utrzymywaliśmy kontakt ze wszystkimi władzami i dostawcami danych wywiadowczych dotyczących bezpieczeństwa, aby wymieniać wszelkie istotne informacje i przekazywać aktualne informacje o incydencie, aby podjąć na czas działania.

Ulepszenia odzyskiwania i bezpieczeństwa

Po zbadaniu incydentu wydaliśmy ważne aktualizacje zabezpieczeń, aby zminimalizować ryzyko podobnych ataków w przyszłości.

Większe bezpieczeństwo przechowywania dzięki integracji Ledger Vault

EXMO nawiązało współpracę z Ledger Vault, uznanym na całym świecie liderem w dziedzinie rozwiązań do zarządzania portfelami kryptowalut. Dzięki technologii Ledger Vault oferujemy większą kontrolę nad wnioskami o wypłatę dzięki generowaniu kluczy i możliwościom wielokrotnej autoryzacji. Traderzy EXMO mogą teraz korzystać z bezpiecznych i płynnych codziennych przepływów wypłat.

Ulepszona infrastruktura portfela kryptograficznego

Zmodernizowaliśmy całą naszą infrastrukturę serwerową w celu obsługi pul portfeli kryptowalutowych z całkowicie zmodernizowanym centrum danych, sprzętem zabezpieczającym i oprogramowaniem dostarczonym przez wiodącego światowego dostawcę.

Sprzętowy moduł bezpieczeństwa

Wdrożyliśmy klaster zewnętrznych modułów zabezpieczeń sprzętowych (HSM) wykorzystujący znanego na całym świecie dostawcę zabezpieczeń. Te moduły HSM zapewniają nam możliwość zdalnego przechowywania kluczy prywatnych, zwiększając nasz poziom bezpieczeństwa. Fizyczny moduł HSM obsługuje podpisywanie transakcji w gorącym portfelu z prędkością do 50 000 wiadomości na sekundę w certyfikowanym, bezpiecznym i odpornym na manipulacje środowisku z certyfikatem fips. Podpisywanie transakcji zarówno dla kluczy prywatnych, jak i publicznych razem gwarantuje brak zaangażowania lub narażenia człowieka, dzięki czemu potencjalny wyciek tych kluczy jest zabezpieczony.

Najwyższej klasy zespół ds. bezpieczeństwa i praktyki

EXMO zatrudniło niezwykle doświadczonego Chief InfoSec Officer wraz z doświadczonym zespołem ds. bezpieczeństwa w celu wdrożenia najlepszych praktyk i zasad bezpieczeństwa.

Zespołowi udało się z powodzeniem wdrożyć rygorystyczne procedury obejmujące wszystkie aspekty rozwoju produktu, bezpieczeństwo centrum danych, dopuszczalne szyfrowanie, klasyfikację danych, bezpieczeństwo informacji, zarządzanie hasłami i zasobami. Zasady te zostały wdrożone wraz z Security Operations Center (SoC) wdrażającym rozbudowany zestaw narzędzi, w tym między innymi Darktrace, Carbonblack, Qualys i LogRhythm.

Wszystkie wdrożone środki pomagają identyfikować, zapobiegać i leczyć wszelkie naruszenia lub ataki złych podmiotów — czy to próby wewnętrzne, czy zewnętrzne.

Incydent związany z bezpieczeństwem rozwiązany, wyciągnięte wnioski

Pomimo tego bardzo nieprzyjemnego doświadczenia, czujemy, że poradziliśmy sobie z sytuacją wyjątkowo dobrze i wyszliśmy jeszcze silniejsi, stawiając czoła wyzwaniu bezpieczeństwa.