Важное обновление системы безопасности, июнь 2019 года

Общее положение: мы отметили рост числа несанкционированных попыток доступа к учетным записям пользователей. Мы хотели бы напомнить всем клиентам и пользователям о необходимости защитить ваши аккаунты BitMEX и личные учетные записи с помощью надежных и уникальных паролей и включения двухфакторной аутентификации (2FA). Мы также рекомендуем использовать менеджер паролей.

Безопасность всегда была основным приоритетом в BitMEX. Вот почему мы были первой платформой, которая использовала холодные мульти-сигнатурные кошельки для защиты средств клиентов. Мы постоянно пересматриваем наши протоколы безопасности и улучшаем наши стандарты. Мы работаем над постоянным усилением безопасности нашей платформы и безопасности наших клиентов.

В 2016 году, после крупной атаки с повторным использованием учетных данных ботнета, мы опубликовали сообщение в блоге, в котором подчеркивается важность использования уникальных паролей для аккаунтов BitMEX. Кроме того, мы рекомендуем активировать защиту 2FA. 2FA, иногда называемая «двухэтапной проверкой» или «многофакторной аутентификацией», добавляет дополнительный уровень безопасности вашей учетной записи, требуя не только ваше имя пользователя и пароль при входе в систему, но также ввод уникального, зависимого от времени токена. Токены можно хранить на мобильном телефоне в программном приложении-аутентификаторе, таком как Google Authenticator или Authy.

Тот пост в блоге остается актуальным и сейчас: для защиты своей учетной записи вы всегда должны использовать надежные уникальные пароли в сочетании с многофакторной аутентификацией и диспетчером паролей.

В последнее время мы фиксируем увеличение числа попыток взлома или получения несанкционированного доступа к учетным записям пользователей. Включение 2FA на вашем аккаунте – лучший и самый простой способ защитить себя от этих атак.

Кроме того, мы наблюдаем постоянный рост изощренности методов, используемых преступниками. Один из примеров этого: вместо того, чтобы немедленно запросить вывод средств, злоумышленник торгует средствами со счетов, совершая убыточные сделки в пользу другого счета, который он также контролирует. Мы установили точное количество этих атак и продолжаем препятствовать подобной активности по мере ее обнаружения.

Другая тактика, часто наблюдаемая при захвате учетных записей, – отключение уведомлений по электронной почте об авторизации на платформе BitMEX. Злоумышленник может также попытаться включить 2FA на скомпрометированной учетной записи клиента, чтобы создать ключ API с разрешением на вывод средств. Практически во всех случаях клиенты не видят уведомления о выводе средств или любого другого почтового уведомления, связанного с  их учетной записью, например, уведомление о входе в систему.

В то время как мы анализируем практики, связанные с принудительным использованием 2FA и другими особенностями авторизации, были внесены следующие изменения:

1. Пользователи более не смогут отключать почтовые уведомления об авторизации. Уведомления о входе в систему теперь будут отправляться независимо от существующих настроек уведомлений.
2. Для запросов на вывод средств, отправленных через API, всегда будет требоваться подтверждение по электронной почте. Это положение не относится к ключам API, созданным до 20:00 10 июня 2019 года (UTC).

Эти изменения являются шагом к повышению безопасности учетной записи наших пользователей, однако важно понимать, что это решение не полноценное. Активация защиты 2FA остается нашей самой основной рекомендацией.

В дополнение к вышесказанному: мы в BitMEX проверили каждый случай взлома аккаунтов наших клиентов и выявили несколько общих факторов, характерных для этих инцидентов:

1. Повторное использование пароля или использование легкоугадываемых паролей на платформе BitMEX и в почтовых учетных записях клиентов.
2. Скомпрометированные учетные записи электронной почты, ведущие к краже учетной записи через функцию восстановления пароля.
3. Вредоносное ПО на компьютерах клиентов, позволяющее украсть пароль и позже воспользоваться им для авторизации на платформе bitmex.com.

В борьбе с этими атаками ключевым фактором является бдительный, дисциплинированный подход к безопасности. Во всех вышеперечисленных сценариях использование 2FA значительно снижает риск взлома аккаунта. Это еще раз подчеркивается недавним исследованием Google, которое показало, что 100% атак могут быть заблокированы, если защита 2FA установлена.

Несмотря на то, что мы рассматриваем принудительное использование 2FA для всей нашей клиентской базы, мы еще раз подчеркнем важность принятия надлежащих мер безопасности, как указано ниже.

Обратите внимание, что эти шаги должны быть предприняты не только для вашего аккаунта BitMEX, но и для личных учетных записей, где хранится любая конфиденциальная информация:

1. Установите защиту 2FA

   1. 1. Мы рекомендуем использовать один из многих доступных вариантов, например, Google Authenticator или Authy.

2. Используйте надежный уникальный пароль или используйте менеджер паролей, такой как LastPass.

   1. 1. Надежный пароль состоит как минимум из десяти символов (и чем больше символов, тем надежнее пароль), которые представляют собой комбинацию букв, цифр и символов (@, #, $,% и т. д.). Пароли обычно чувствительны к регистру, поэтому надежный пароль содержит буквы как в верхнем, так и в нижнем регистре.

      2. НЕ используйте пароли для своих учетных записей в социальных сетях (Facebook, Spotify или Instagram) для торговых счетов BitMEX или банковских счетов. Используйте надежные, уникальные и разные пароли для каждой учетной записи!

3. Оцените уже существующий риск

   1. 1. Проверьте, не был ли ваш пароль скомпрометирован в результате взлома третьей стороны. Проверить это можно с помощью таких сервисов как HIBP.

      2. Проверяйте свои торговые счета на регулярной основе, чтобы убедиться, что вы знаете свой актуальный баланс. 

      3. Регулярная сверка ваших счетов была бы полезной, чтобы убедиться, что все транзакции между вашими счетами производились с вашего разрешения.

4. Добавьте support@bitmex.com в свой список контактов и убедитесь, что наши электронные письма не попадают в вашу папку СПАМ.

   1. 1. Убедитесь, что вы не фильтруете официальные сообщения от bitmex.com. Эти сообщения включают уведомления о входе и выходе.

5. Служба поддержки BitMEX НИКОГДА не спросит пароль вашей учетной записи.

Мы в BitMEX очень серьезно относимся к безопасности. Не смотря на то, что мы продолжаем развивать наши возможности в области внешней и внутренней безопасности, безопасность в конечном итоге является ответственностью каждого. Если у вас есть электронные средства на ваших онлайн-счетах, очень важно предпринять указанные выше шаги для обеспечения безопасности всех ваших учетных записей.

Если вы заметили какие-либо необычные действия в своей учетной записи, немедленно свяжитесь с нашей службой поддержки через страницу связи с технической поддержкой.