Інцидент безпеки EXMO 2020: вирішено

Огляд нападу

У грудні 2020 року EXMO стала мішенню хакерської атаки на гарячі гаманці платформи, які використовуються для транзакцій депозиту та виведення. Атаку було виявлено відразу, що допомогло нам швидко відреагувати та обмежити втрату на рівні 5% від загальної суми активів.

Наразі інцидент із безпекою повністю вирішено, 100% коштів відшкодовано нашим користувачам.

Кроки реагування

Ми зосереджені на захисті наших користувачів від будь-яких загроз безпеці, які можуть використовувати вразливості, що призведе до втрати ними коштів. Коли ми виявили атаку, ми негайно відреагували, щоб усунути вразливості та не дати зловмисникам завдати ще більшої шкоди.

Негайні дії для усунення пошкоджень

Після виявлення атаки ми призупинили всі транзакції зняття та депозиту, щоб запобігти переказу коштів на свій гаманець зловмисником.

Інформування користувачів

Дотримуючись наших принципів прозорості, ми опублікували публічну публікацію в блозі, де детально розповідали про злому та його наслідки. Ми також спілкувалися через усі наші канали, щоб забезпечити наших користувачів негайного повідомлення про інцидент.

Зовнішня звітність

Ми зв’язалися з провідними постачальниками аналітики безпеки та блокчейну, включаючи Chain Analysis, Crystal і CipherTrace, щоб повідомити про інцидент безпеки. Гаманець зловмисника отримав назву «EXMOHACKEDCUSTOMER», а його тип сутності було змінено на «Злочинний» із оцінкою ризику 10 балів, щоб запобігти подальшим транзакціям.

Ми домовилися про відстеження всіх транзакцій хакера в рамках широкого розслідування організацій і надали додаткові оновлення, якщо будуть виявлені будь-які нові дані щодо інциденту.

Розслідування нападу

Ми зв’язалися з Poloniex, яку зловмисник використовував для транзакцій. На біржі підтвердили, що вони дозволили реєструвати обліковий запис зловмисника за допомогою анонімної електронної пошти та дозволили багаторазові транзакції, оскільки не вважали це підозрілим.

Після наших подальших запитів надати додаткову інформацію для проведення ретельного розслідування, біржа не відповіла. Ми також звернулися безпосередньо до Центрального банку Сейшельських островів та відділу фінансової розвідки Сейшельських островів, які надають послуги Poloniex. EXMO попросила допомоги та співпраці у вилученні вкрадених цифрових активів; проте, ми також не отримали від них чути.

Прагнучи виявити вразливість, яка дозволила зловмисникам здійснити злому, ми співпрацюємо з провідним агентством галузі, що спеціалізується на розслідуванні порушень кібербезпеки. Вони допомогли нам виявити слабкі місця та знайти рішення для запобігання подальших інцидентів.

Повідомлення в правоохоронні органи

Окрім проведення ретельного внутрішнього розслідування, ми також поінформували відповідні державні установи про цей інцидент:

• Столична поліція в Лондоні, Великобританія.
• Action Fraud, національний центр звітності Великобританії про шахрайство та кіберзлочинність.
• Подав «Звіт про підозрілу діяльність» до Національного агентства з боротьби зі злочинністю.
• Управління фінансового контролю Великобританії.

Ми підтримували зв’язок з усіма органами влади та постачальниками розвідувальних служб безпеки, щоб обмінюватися будь-якою важливою інформацією та надавати оновлення щодо інциденту, щоб вчасно вжити заходів.

Відновлення та покращення безпеки

Після розслідування інциденту ми випустили важливі оновлення безпеки, щоб мінімізувати ризик будь-яких подібних атак у майбутньому.

Посилена безпека зберігання завдяки інтеграції Ledger Vault

EXMO уклала партнерство з Ledger Vault, всесвітньо визнаним лідером у сфері рішень для управління криптовалютними гаманцями. Завдяки технології Ledger Vault ми пропонуємо кращий контроль над запитами на зняття коштів завдяки використанню генерації ключів і можливостей багаторазової авторизації. Трейдери EXMO тепер можуть скористатися безпечними та плавними щоденними потоками виведення коштів.

Оновлена інфраструктура криптовалютного гаманця

Ми оновили всю нашу серверну інфраструктуру для підтримки пулів криптовалютних гаманців за допомогою повністю оновленого центру обробки даних, обладнання та програмного забезпечення безпеки від провідного світового постачальника.

Апаратний модуль безпеки

Ми впровадили кластер зовнішніх апаратних модулів безпеки (HSM), який використовує всесвітньо відомого постачальника безпеки. Ці HSM надають нам можливість віддалено зберігати закриті ключі, підвищуючи наш рівень безпеки. Фізичний HSM підтримує транзакційне підписання гарячого гаманця зі швидкістю до 50 000 повідомлень в секунду в сертифікованому fips, захищеному та захищеному середовищі. Підписання транзакцій разом як для приватних, так і для відкритих ключів гарантовано не буде залучено або піддане впливу людини, тому потенційний витік цих ключів захищений.

Команда найвищого рівня безпеки та практики

EXMO залучила до роботи надзвичайно досвідченого директора InfoSec разом із досвідченою командою безпеки з метою впровадження найкращих методів та політик безпеки.

Команді вдалося успішно запровадити суворі процедури, що охоплюють усі аспекти розробки продукту, безпеки центрів обробки даних, прийнятного шифрування, класифікації даних, безпеки інформації, пароля та управління активами. Ці політики були впроваджені разом із Центром операцій безпеки (SoC), який розгорнув великий набір інструментів, зокрема Darktrace, Carbonblack, Qualys та LogRhythm.

Усі запроваджені заходи допомагають виявити, запобігти та вилікувати будь-які порушення чи атаки зловмисників — будь то внутрішні чи зовнішні спроби.

Інцидент безпеки вирішено, уроки засвоєні

Незважаючи на цей дуже неприємний досвід, ми відчуваємо, що впоралися з ситуацією надзвичайно добре і вийшли ще сильнішими, зіткнувшись із проблемою безпеки та впоравшись із нею.