Нам известно, что многих из вас беспокоит утечка адресов электронной почты, произошедшая в прошедшие выходные, и, несомненно, у вас есть множество вопросов по этому поводу.
Наши специалисты по всему миру работают 24 часа в сутки с целью обеспечить безопасность ваших аккаунтов и вернуться к работе в обычном режиме. Наша служба технической поддержки уже помогла многим нашим пользователям, и мы стараемся установить связь со всеми. Мы работаем с целью постепенно обеспечить следование необходимым процедурам, устойчивое обеспечение необходимой поддержкой, а также соблюдение всех стандартов безопасности. Если мы еще не связались с вами, мы сделаем это очень скоро.
Мы приносим свои искренние извинения в связи с беспокойством, вызванным данной проблемой. Ниже мы подробнее расскажем о том, что произошло, о том, как мы можем вам помочь, а также о способах, с помощью которых вы можете повысить безопасность ваших аккаунтов.
Что случилось?
В пятницу 1 ноября в 06:00 UTC многие из наших пользователей получили сообщения, которые в поле “Кому” содержали адреса электронной почты других пользователей. Это была рассылка общего характера для информирования наших пользователей о планируемых изменениях в наших индексах. В результате многие email-адреса пользователей BitMEX, включая большое количество неактивных адресов, были частично разглашены другим пользователям небольшими разрозненными фрагментами. Никакая другая информация о пользователях не была разглашена.
BitMEX – это глобальный бизнес, работа которого предполагает отправку электронных сообщений с помощью разных почтовых провайдеров. Сама по себе задача доставки информации является комплексной и включает в себя большое количество работы по созданию репутации отправителя и автоматических спам-фильтров. К сожалению, иногда это усложняет работу больших сервисов (таких как BitMEX): мы выполняем массовую рассылку всем пользователям только в редких случаях. Мы стараемся тревожить пользователей как можно реже и отправляем уведомления только в случае крайней необходимости.
Рассылка информации о планируемых изменениях в наших индексах играла важную роль. Данное изменение окажет воздействие на все наши инструменты, и мы посчитали необходимым уведомить пользователей о данном обновлении. Управлять на глобальном уровне массовой рассылкой писем, такой как эта, – непростая задача. Некоторые провайдеры, особенно такие, как Yahoo и 163, имеют в наличии жесткие контрольные правила, которые часто применяются, когда мы посылаем большое количество писем нашим пользователям. Для системных уведомлений о снятии средств, сбросе паролей, ликвидациях очень важно гарантированное получение письма пользователем.
Чтобы это реализовать, мы построили свою систему для обработки отображения, перевода и масштабирования списка рассылки (чтобы не превышать лимиты запросов) важных писем. BitMEX не отправляла письма массового характера каждому клиенту с 2017 года, и с тех пор многое изменилось. Когда мы начали обрабатывать текущий список рассылки, мы поняли, что на завершение отправки писем по данному списку потребуется около 10 часов. У нашей команды было намерение сократить данное время, чтобы пользователи получили корреспонденцию в приемлемые временные промежутки.
Для решения вышеуказанной задачи был оперативно переписан инструмент, отправляющий в API SendGrid запросы в виде списков по 1000 адресов. К сожалению, из-за жестких временных ограничений, данное изменение ПО не было подвергнуто нашей стандартной процедуре контроля качества. Выяснилось, что запрос к API объединяет все адреса в поле “Кому” в одну запись, вызвав тем самым утечку пользовательских email-адресов. Как только мы обнаружили проблему, отправка дальнейших писем была немедленно приостановлена и причина сбоя была устранена. С этого времени мы помогали всем, кого это затронуло, задействовав все наши ресурсы с тем, чтобы минимизировать ущерб и остановить утечку информации.
BitMEX – компания, которая серьезно относится к разработке ПО, и мы разочарованы тем, как данное упущение привело к ненамеренной утечке пользовательских данных. Мы считаем, что не разработчики, а производственные процессы стали причиной инцидента. Именно производственные процессы послужили причиной в данном случае. Мы круглосуточно работаем над их улучшением. Впредь самое простое изменение кода будет подвергнуто строгому тестированию.
Также произошел другой инцидент, не относящийся к данному событию. К Twitter-аккаунту BitMEX получил доступ посторонний пользователь. Мы восстановили полный контроль над Twitter-аккаунтом в течение 6 минут и обеспечили его безопасность.
Помимо email-адресов, никакая другая персональная информация не была разглашена. Также наши основные системы не были подвергнуты какому-либо риску.
Кто был затронут?
Данный инцидент затронул большинство пользователей BitMEX. Вы можете проверить, затронул ли вас данный инцидент, используя инструкцию ниже:
- Если вы получили сообщение об изменениях индекса и в поле “Кому” содержится только один email-адрес, то вы не были затронуты.
- Если вы получили сообщение об изменении индекса и увидели другие адреса в поле “Kому”, то вы были затронуты.
- Если вы не получили сообщение об изменениях индекса, то вы предположительно были затронуты и мы по-прежнему рекомендуем следовать инструкции ниже, чтобы повысить вашу онлайн-безопасность. Во время отключения системы отправки сообщений многие получатели начали помечать наши сообщения как спам, по понятным причинам надеясь остановить дальнейшую входящую корреспонденцию. Это привело к сбоям доставки на некоторых хостах (серверах). К сожалению, если вы не получали писем, это не означает, что ваш email-адрес не получили другие.
- Сбои в доставке также привели к задержкам с доставкой писем о сбросе паролей на несколько часов. Наши технические команды устранили неполадку до 6:00 UTC 2 ноября.
Что мы делаем для оказания помощи пользователям?
После обнаружения утечки персонал BitMEX круглосуточно работал над уменьшением пользовательских рисков. Мы в курсе, что многие пользователи используют свои email-адреса и в других сервисах. Данный факт, комбинированный с тенденцией у человека использовать одни и те же пароли, означал, что многие наши пользователи подверглись риску на других платформах, в том числе, не имеющих отношения к криптовалютам.
В связи с вышесказанным, мы предприняли следующие шаги после уведомления пользователей об утечке email-адресов:
- Наша служба безопасности и служба поддержки начали расширенный мониторинг пользовательских учетных записей на предмет подозрительной активности после утечки. Это привело к сбросу паролей для ряда аккаунтов и проверке с помощью сотрудников техподдержки.
- В 13:00 UTC того же дня была проведена дополнительная проверка безопасности наряду с нашей стандартной ручной проверкой запросов на вывод средств. Мы идентифицировали критерии, по которым могли быть выявлены подозрительные операции по выводу средств. Мы отменили заявки на вывод средств, которые были произведены: (i) с аккаунтов без двухфакторной аутентификации, (ii) с использованием ранее не встречавшегося у данной учетной записи биткоин-адреса для вывода, (iii) с использованием ранее не встречавшегося у данной учетной записи IP-адреса, и (iv) сразу после инцидента утечки.
Все другие выводы затронуты не были и были обработаны в обычном режиме.
Вышеуказанные действия были предприняты в интересах защиты соответствующих пользователей, затронутых инцидентом, с которыми мы уже связались.
- Как только стало ясно, что несколько групп злоумышленников работают вместе для объединения разрозненных фрагментов и списков, инженеры BitMEX инициировали сброс паролей для всех учетных записей без двухфакторной аутентификации. Затронутые пользователи были уведомлены по электронной почте (после тщательной проверки отделом контроля качества в отношении предыдущей ошибки при отправке писем).
- Служба поддержки BitMEX (обратная связь) работает в расширенном режиме, продолжая обрабатывать заявки пользователей об изменении email-адресов, отвечая на вопросы и консультируя пользователей по вопросам безопасности.
Если вы обеспокоены компрометацией персональных данных на BitMEX или других сервисах, пожалуйста, установите двухфакторную аутентификацию на всех критичных сервисах, начиная в первую очередь с вашей электронной почты. BitMEX ранее опубликовала объявление на эту тему, как и другие источники, включая руководство Пола Стаматоу.
Технические команды BitMEX работают над обновленным функционалом с целью увеличения количества опций безопасности, поддерживаемых на платформе, улучшением сигнальных свойств уведомлений учетных записей и новыми инструментами противодействия перехвату аккаунтов для пользователей.
Требуются ли от меня какие либо действия?
Несмотря на то, что ни персональная информация, ни детали аккаунта за исключением адреса электронной почты не были разглашены, мы просим вас:
- Будьте бдительны в отношении попыток фишинга. Сообщения от BitMEX отправляются только с адресов support@bitmex.com и noreply@bitmex.com. Мы советуем внести эти адреса в список контактов. Мы ни при каких обстоятельствах не будем просить вас предоставить ваш пароль.
- Отметьте, что BitMEX не при каких обстоятельствах не будет просить вас переводить средства. Единственным способом пополнения аккаунта на ваш аккаунт BitMEX является перевод средств на уникальный депозитный адрес BitMEX, который начинается с префиксов “3BMEX” или “3BitMEX”. Вы можете найти ваш BitMEX адрес на странице “Депозит”.
- Пожалуйста, ознакомьтесь со списком наших официальных средств коммуникации. Следует принимать во внимание только инструкции, опубликованные в вышеуказанных источниках.
- Убедительная просьба защищать ваши аккаунты посредством использования надежных и уникальных паролей. Включите двухфакторную аутентификацию (2FA) аккаунта (на почте и на аккаунте BitMEX) и используйте менеджер паролей.
Мы бы хотели повторно заверить вас в том, что никакая персональная информация пользователей (за исключением email-адресов) не подверглась утечке. Все наши системы находятся в полной безопасности. Мы продолжаем работу над средствами дополнительной безопасности наших пользователей и платформы. Сохранение вашего права на конфиденциальность и ваша безопасность являются наивысшим приоритетом BitMEX.
Если вам необходима срочная помощь, пожалуйста, свяжитесь с нашей службой технической поддержки с помощью контактной формы.
С уважением,
Vivien Khoo,
Deputy Chief Operating Officer