اشتباهی مضحکانه؛ اکسچنج کره ای ۶۵۰۰۰۰ دلار کاربرانش را دور ریخت!
اکسچنج کوچک بیت کوئکس (Bitkoex) در کره جنوبی اطلاعات کاربران به ارزش ۶۵۰ هزار دلار را در یک چت گروهی منتشر کرد.
مشکلات اکسچنج های کوچک
با توجه به هک کوین ریل (Coinrail)، کارشناسان این صنعت و متخصصان امنیتی مدل کسب و کار و روش اکسچنج های کوچک را مورد انتقاد قرار دادند. این اکسچنج ها تلاش میکنند با استفاده از بودجه های کم تا جایی که میتوانند سود بدست بیاورند.
سابقا مون بیونگ کی مدیر اینفوتک SK (فناوری شرکت بزرگ مخابراتی کره جنوبی) گفت:
اکسچنج های کوچک و متوسط کره جنوبی هیچگونه بودجه ای در توسعه امنیت و زیرساخت ها اعمال نمیکنند و اطلاعات و اموال کاربران را در مقابل شکاف های امنیتی آسیب پذیر میکنند.
وی بیان کرد:
اکسچنج های کوچک و متوسط ارز دیجیتال در اجرای اقدامات امنیتی ضروری تعلل میکنند و فقط بر گسترش کسب و کار خود متمرکز میباشند. هر هکر با تجربه و ماهر می تواند به راحتی به اکسچنج های کوچک چین که شرایط امنیتی ضعیفی دارند نفوذ کند.
بیت کوئکس یک اکسچنج کوچک در کره جنوبی می باشد. یکی از کارمندان این اکسچنج بنا به دلایل نامشخص، اطلاعات کاربران به ارزش ۶۵۰ هزار دلار را در چت گروهی منتشر کرد. این اطلاعات شامل کلیدهای خصوصی و عمومی، سپرده و نام صاحبان حسابها میباشد.
برخلاف پیامرسان سیگنال و تلگرام که از رمزنگاری end-to-end استفاده می کنند تا از ارسال و دریافت اطلاعات مخرب جلوگیری کنند، کاکائوتاک بزرگترین پیامرسان شناخته شده در کره جنوبی است که سهام بازار ۹۰ درصدی دارد و گزینه های رمزنگاری در آن تعبیه نشده است.
تیم این اکسچنج به طور مضحکی اطلاعات مالی مهم کاربران خود را در گروه چت فاش کرد که اعضای گروه آن میتوانند اطلاعات را در فضای عمومی پخش کنند. این امر دارایی ها و حساب ها به ارزش ۶۵۰ دلار را آسیب پذیر کرد.
این اقدام به دلیل حمله هک یا فیشینیگ (phishing) نبوده است، تنها به دلیل تصمیم بحث برانگیز این اکسچنج بوده است که اطلاعات کاربران را در گروه چت ناامن و بدون رمزنگاری گذاشته است.
بیت کوئکس بعد از این افشاگری مورد انتقادهای شدیدی قرار گرفته است. پس از اینکه دارایی های کاربران در خطر قرار گرفت، اکسچنج حتی به خود زحمت انتقال این ارزها را به کیف پول سرد نداد. این اکسچنج قبل از افتتاح به کاربران خود قول داده بود که سیستم امنیتی ایجاد میکند که همگام با سازمان های پیشرو مالی باشد و استاندارد سطح بالایی از امنیت اطلاعات کاربران ، حساب ها و سرمایه ها ایجاد میکند.
اولین بار است که یک اکسچنج با هدف خاصی، اطلاعات کاربران خود را در پیامرسان گروه های چت منتشر میکند. ظاهرا اعضای این گروه ها جز شرکت یا تیم مدیریتی اکسچنج نمیباشند.
هیچ راه حلی برای چنین حماقت هایی وجود ندارد
هیچ قانون یا استاندارد امنیتی نمی تواند مانع از فاش شدن کلیدهای خصوصی کاربران توسط اکسچنج شود. آشکار شدن کلیدهای خصوصی مثل این است که شماره حساب های بانکی و رمز آنها فاش شود و امیدوار باشیم کسی به این پول ها دستبرد نزند.
موضوع لو رفتن اطلاعات کاربران بیتکوئکس به دلیل حماقت و عدم اشتیاق شرکت به محافظت از اطلاعات کاربران بود. هیچ یک از کارمندان نباید اجازه انتشار کلیدهای خصوصی را داشته باشند.