شب گذشته شرکت سایبرنیوز در گزارشی مدعی شد اطلاعات حساس ۲۳۰٬۰۰۰ کاربر صرافی بیت ۲۴ به خاطر وجود یک پیکربندی نادرست در سیستم ذخیرهسازی ابری آن لو رفته است. در واکنش به این خبر، مهندس امنیت صرافی بیت ۲۴ خاطرنشان کرد تمام اطلاعات کاربران کاملا ایمن هستند.
بر اساس گزارش سایبر نیوز، ظاهرا اشتباه سهوی صرافی بیت ۲۴ در پیکربندی سیستم ذخیرهسازی ابری خود باعث شده تا بتوان به دادههای سیستم احراز هویت این صرافی از جمله اطلاعات گذرنامه، شناسنامه، کارت اعتباری و رضایت نامه کتبی کاربران دسترسی پیدا کرد.
در واکنش به این گزارش، حسین امینی، مهندس امنیت بیت ۲۴ در یک پاسخ ایمیل رسمی، ضمن رد این ادعاها تاکید کرده است ادعاهای سایبرنیوز را بررسی کرده و آنها را «نادرست و گمراهکننده» می داند و هیچ مدرکی دال بر نقض دادهها یا دسترسی غیرمجاز به اطلاعات حساس کاربران پیدا نکرده است. وی همچنین خاطر نشان کرد سیستم MinIO و فضای ذخیرهسازی ابری این شرکت در امنیت کامل به سر میبرد و با یافتههای تحقیقات سایبر نیوز در تضاد است.
آیا کاربران بیت ۲۴ باید نگران باشند؟
سایبرنیوز در گزارش خود مدعی شده این نقض امنیتی ظاهرا در حال حاضر برطرف شده است. با این حال، محققان این شرکت معتقدند نشت چنین اطلاعات مهمی میتواند پیامدهای مهمی برای کاربران از جمله استفاده از دادههای افشا شده برای سرقت هویت، تراکنشهای جعلی و حملات فیشینگ داشته باشد. سایبرنیوز همچنین از کاربران خواسته تا برای رفع نگرانی خود با پشتیبانی صرافی بیت ۲۴ ارتباط برقرار کنند.
بیانیه رسمی صرافی بیت۲۴
اما صرافی بیت ۲۴ در توییتی به خبر نشت اطلاعات کاربران با متن زیر واکنش نشان داد:
با توجه به ادعای منتشر شده در وبسایت سایبرنیوز، مبنی بر نشت دادهها در صرافی بیت ۲۴، بر خود لازم دانستیم توضیحاتی را از طریق این بیانیه به صورت شفاف ارائه کرده و پاسخگوی نگرانی کاربران خود باشیم.
روز یکشنبه هفدهم آذر ماه خبری در وبسایت Cybernews مبنی بر نشت اطلاعاتی مرتبط با تصاویر احراز هویت کاربران صرافی بیت۲۴ منتشر شد و همکاران فنی ما بلافاصله این موضوع را در دست بررسی قرار دادند.
تیم فنی ما پس از بررسی دقیق، ادعاهای مطرح شده را به دلایلی که در ادامه اشاره میشود، نادرست و گمراه کننده تشخیص داد.در تحقیقات ما و بررسی لاگ سیستم؛ هیچ مدرکی مبنی بر نقض داده یا دسترسی غیرمجاز به اطلاعات حساس کاربر یافت نشد.
در مقاله مذکور اشاره به یک نمونه MinIO با پیکربندی نادرست که اجازه دسترسی به باکتهای S3 حاوی دادههای KYC را میدهد، کاملا نادرست است و با معماری سیستم یا پروتکلهای امنیتی ما همخوانی ندارد.
تیم فنی ما میتواند تایید کند که راهاندازی MinIO ما امن بوده و هیچگونه دسترسی غیرمجاز به هیچیک از دادههای حساس کاربر وجود نداشته است.
همچنین لازم به ذکر است دیتایی که سایبرنیوز ادعا میکند هیچ ارتباطی با دیتای حساس کاربران ندارد و دارایی کاربران در بالاترین سطح امنیتی در بیت ۲۴ محفوظ است.
تیم ما ضمن پذیرش و درک نگرانی کاربران و عموم مردم، تقاضا دارد اطلاعات و اخبار دقیق را از منابع معتبر دنبال کرده و آخرین اخبار رسمی را از وبسایت و کانالهای رسمی بیت ۲۴ پیگیری کنند. ما همچنان متعهد به رعایت بالاترین استانداردهای امنیت و محرمانگی هستیم.
