Malta kripto para komisyoncusu Foris DAX MT Ltd., alan adıyla daha iyi bilinir Crypto.com, bu ayın başlarında multi milyon dolarlık bir “banka soygunu” yaşadı.

Bir göre kısa güvenlik raporu Dün yayınlanan 483 müşteri, toplam 4800 Ether tokeninin biraz üzerinde, 440 Bitcoin tokeninin biraz üzerinde ve sadece olarak listelenenlerde 66,000 doların biraz üzerinde hayalet para çekme işlemi yaşadı. “diğer kripto para birimleri”.

Sahte işlemlerin tespit edildiği 17 Ocak 2022 (ETH1=3300$ ve BTC1=43,000$) için yaklaşık dönüşüm oranlarını kullanmak, bu soygundan kaynaklanan toplam kaybı yaklaşık 35,000,000$ olarak gösteriyor.

Ne yanlış gitti?

Crypto.com iddia ediyor "etkilendiği tespit edilen tüm hesaplar tamamen geri yüklendi", hayali para çekme işlemi yapan müşterilere Crypto.com'un kendisi tarafından geri ödeme yapıldığı anlamına geldiğini varsayıyoruz.

Dolandırıcıların saldırıyı nasıl başardığına dair ayrıntılar raporda yer almıyor, bu da basitçe şunu söylüyor: "İşlemler, kullanıcı tarafından girilen 2FA kimlik doğrulama kontrolü olmadan onaylanıyordu."

Raporun açıklamadığı ve hatta bahsetmediği şey, 2FA kodlarının birileri tarafından (müşteriler tarafından olmasa da) sahte para çekme işlemlerine izin vermek için mi girildiği veya kimlik doğrulama sürecinin 2FA bölümünün bir şekilde tamamen atlanıp atlanmadığıdır.

Bu, birkaç olası açıklama akla gelse de, 2FA sürecinin nasıl veya neden düzgün çalışmadığını kolayca söyleyemeyeceğimiz anlamına gelir.

Kendi 2FA sisteminizin nasıl başarısız olabileceğine bakmakla ilgileniyorsanız, aşağıdakiler de dahil olmak üzere uzun bir olasılıklar listesini göz önünde bulundurmanız gerekir:

• Temeldeki 2FA sisteminde temel bir kusur. Örneğin, arızalı bir rastgele oluşturucuya dayanan bir kerelik sayısal kodlardan oluşan SMS tabanlı bir sistem, saldırganların bazı veya tüm kullanıcılar için girilecek doğru kodu tahmin etmesine olanak tanıyan tahmin edilebilir diziler üretebilir.
• 2FA kimlik doğrulama veritabanının ihlali. Örneğin, uygulama tabanlı bir kod üreteci sistemi, tipik olarak, bir paylaşılan sır olarak bilinen bir tohum, bu olamaz karma olarak saklanır normal bir şifre gibi. Hem istemci hem de sunucu, oturum açma sırasında tohumun düz metnine erişime sahip olmalıdır, bu nedenle bir sunucu tarafı ihlali, bir saldırgana bazı veya tüm kullanıcılar için tek seferlik kod dizilerini hesaplamak için gereken ayrıntıları verebilir.
• Çevrimiçi oturum açma işleminde zayıf kodlama. Kötü yapılandırılmış bir kimlik doğrulama sunucusu, örneğin belgelenmemiş HTTP üstbilgileri ekleyerek veya beklenmedik bir şekilde mevcut güvenlik önlemlerini geçersiz kılan özel URL parametreleri ekleyerek, istemci tarafı oturum açma isteğinin kullanılan yapılandırma ayarlarını değiştirmesine istemeden izin verebilir.
• Destek veya BT personeli tarafından riskli davranışları tespit etmek için zayıf iç kontroller. Örneğin, aşırı yardımsever (veya kasıtlı olarak yozlaşmış) içeridekiler, kritik hesap değişiklikleri için meslektaş incelemesine veya ikinci oturuma tabi tutulmayabilir. Bu nasıl rezil Twitter hack 2020 yılı gerçekleşti: Joe Biden, Elon Musk, Barack Obama, Bill Gates, Apple ve diğerleri gibi yüksek profilli hesaplar, saldırganların bu hesapları güvence altına almak için kullanılan e-posta adreslerini değiştirmesine izin veren yardımsever destek personeli nedeniyle ele geçirildi.
• Kimlik doğrulama sürecinde hata açma davranışı. Erişim kontrol sistemi bazen başarısız kapalı, örneğin sistem bozulursa kimsenin gizlice girmemesi ve bazen açılamama, örneğin, acil bir tahliye sırasında kimsenin kilitli kalmaması için. Bir sistemin bozulmasının beklenmeyen nedenleri, tamamen kapatılması gerektiğinde herkes için kilidin açık olması gibi, sistemin yanlış yapılandırılmasına neden olan yanlış arıza modlarına yol açabilir.

Sonra ne oldu?

Crypto.com sahip olduğunu iddia ediyor “Tamamen yeni bir 2FA altyapısına geçti”, görünüşe göre dışında “çok fazla dikkat”.

Siber güvenlik aşırı tepkilerinin, yetersiz tepkiler kadar maliyetli ve verimsiz olabileceği göz önüne alındığında, “çok fazla ihtiyat” kelimelerinin ne anlama geldiğini hiçbir zaman tam olarak anlamadık, ancak çağdaş ihlal raporlarında söylenmesi gereken bir ifade gibi görünüyor. eğer düşünceli bir şekilde alıyorsa uygun Önlemler artık yeterince iyi değil.

Sonuçta, 2FA hatanızın temel nedeni yukarıdaki neden (1) ise - 2FA sisteminin kendisindeki içsel bir eksiklik - o zaman tamamen yeni bir 2FA teknolojisi için değiştirerek kök ve dal değişikliği yapmak uygun görünüyor.

Ancak temel neden yukarıdaki sebep (5) ise – destek personelinin hesap sıfırlamalarına çok kolay yetki verebilmesi – o zaman temeldeki 2FA teknolojisini değiştirmek çok az fark yaratabilir veya hiç fark yaratmayabilir.

Ne yapalım?

• Crypto.com müşterisiyseniz, yeni sistemi kullanmak için hesabınızı yeniden yapılandırmanız gerekir. Özellikle, bakiye transferleri için yeni hesaplar eklemek için artık 24 saatlik bir gün doğumu dönemi var. Bu, sahtekarlar tarafından denenen beklenmeyen hesap değişikliklerini fark etmeniz veya bu konuda uyarılmanız için size ekstra süre eklemeyi amaçlamaktadır.
• Kendi çevrimiçi hizmetlerinize 2FA eklemeyi düşünüyorsanız, sistemin sadece bariz kısımlarını test etmeyin. Sisteminizin geri kalanıyla tüm etkileşim noktalarını göz önünde bulundurduğunuzdan emin olun ve beklenmedik arıza türlerini araştırmak için sızma test cihazlarını işe almayı düşünün.
• Halkla ilişkiler veya pazarlama alanındaysanız, tüm şirketin bir ihlal olması durumunda nasıl tepki vereceğini uygulamasını sağlayın. Bu, başarısız olmayı beklediğiniz anlamına gelmez. Ancak bu, yakalanırsanız, talihsiz müşterilerinizle yasal ve ahlaki olarak gerekli iletişim sürecinin, sorunu araştırmak ve düzgün bir şekilde düzeltmek için harcanması daha iyi olan planlama süresini emmeyeceği anlamına gelir.