电子邮件隐私问题:事件回顾及我们能提供的帮助

BitMEX

上周末发生的电子邮件泄露事件可能会令您感到不安对此有诸多疑问针对这次事件,我们在世界各地的团队全部夜以继日地工作,全力保护您的账户安全并确保尽快回归正轨。 

客服团队已经为许多用户提供了帮助,并将与每一位用户取得联系。 由于这次的工作流程较为繁复:要确保遵守所有流程的合理性保证信息传送的顺畅严格处理所有潜在的安全问题,因此联系到所有用户需要一定的时间。如果您目前尚未收到我们的电子邮件,请不要担心,很快收到。

对于此次事件给您带来的不便,我们深表歉意。以下信息将进行事件回顾明确我们可以提供的帮助以及您可以用来增强安全措施的一些方法

事件回顾

北京时间 11 月 1 日星期五下午两点,许多用户收到了一封电子邮件, 收件人:字段中包含其他用户的邮件地址。 这原本是我们发给用户的常规信息更新的邮件,内容有关指数权重进行的更改。 在这次群发中,许多 BitMEX 用户电子邮件地址(包括大量非活跃地址)以小批量的方式泄露给其他用户。 没有涉及其他信息泄露

BitMEX 是一家全球性公司,需要向多家电子邮件供应商发送邮件。电子邮件的可传递性本身是一个多层次的问题,需要大量工作来构建发件人信誉系统和自动过滤垃圾邮件。这些措施会使企业提供大规模邮件服务,例如 BitMEX 面临一定的困难

我们仅在极少数且绝对必要的情况下向所有用户群发电子邮件,以保持较高的信噪比。我们在 11 月 1 日发布的指数更新具备绝对的重要性,它将影响我们所有产品的定价 – 这是我们觉得有必要将其告知所有用户的原因

然而,在全球范围内,向所有收件人发送这样的批量邮件是一项困难而复杂的任务。因为有些邮件服务器,特别是雅虎和网易等大型全球品牌的分支机构,具有非常严格的管控制度在我们发送大量邮件时启动限制系统但是对于系统重要通知(例如提现,重置密码和清算),客户必须安全地接收邮件。

为了补救这个问题,我们构建了一个内部系统来处理重要电子邮件涉及的必要呈现、翻译、分段和零碎(以免触发频率限制)的发送。自 2017 年以来,BitMEX 未曾一次性向所有用户发送电子邮件,我们平台近年也发生了巨大变化。

此次事件中,当我们开始群发邮件时,发现需要 10 个小时以上才能完成发送,而团队希望用户在更合理的时间范围内收到相同的材料资讯。为了解决这个问题,我们快速改写了发送方式,以单次 SendGrid API 接口调用批量发送 1,000 个地址。由于时间的限制,这次操作没有通过我们常规质量检查流程没有第一时间发现 API 接口调用会创建一个串联的 收件人:字段,从而导致用户电子邮件地址的泄露。 在意识到问题时,我们即刻停止继续发送电子邮件,并从源头上解决了问题从事件发生开始,我们一直在全力帮助所有受影响的用户,阻止信息泄露的蔓延并减轻损失。

BitMEX 是一家认真对待工程设计的公司,对于如此严重的疏忽导致用户信息泄,我们非常的愧疚和自责。这些失误是整体流程上的问题,而不仅仅是工程设计层面上的。 我们的流程有严重的漏洞,我们正在夜以继日地进行弥补和修正,并保证即使是最简单的代码更改也都受到严格审查。

有一个事件我们的此次操作无关BitMEX Twitter 的账户曾被外部人士访问,该账户在 6 分钟内重新受 BitMEX 控制并重新修复,该事件正在安全审查中。

除电子邮件地址外,没有任何个人或账户信息被披露。 我们的核心系统在任何时候都没有受到威胁。

受影响用户有哪些?

大部分的 BitMEX 用户都受到影响。您可以用以下的方式来进行判断:

  • 如果您收到有关指数更新的电子邮件, “收件人:” 字段里只有您个人的邮件地址,您并没有受到影响。
  • 如果您收到指数更新的电子邮件,并在 “收件人:” 字段里看到多个电子邮件地址,您已经受到影响。
  • 如果您没有收到指数更新的电子邮件,可能已受到影响,我们建议您按照以下步骤操作,以增强线上防护。因为虽然系统在完全发送完成之前就已被关闭,但许多受影响的收件人希望可以不再接收类似的电子邮件,将 BitMEX 电子邮件标记为垃圾邮件。这种方法确实可以在引起某些主机上可传递性问题,导致电子邮件无法送达。 同批次中的其他用户可能已经收到该电子邮件,从而暴露了您的电子邮件地址。
    • 由垃圾邮件报告引起的可传递性问题导致后续的密码重置被延迟了几个小时。运营团队已于北京时间 11 月 2 日 14:00 之前解决了这个问题。

我们可以提供哪些帮助?

在发现泄露事件后,BitMEX 员工全力减少用户损失。我们知道许多用户在不同的电子邮件服务商设置了相同的邮件地址,再加上密码经常重用,这意味着我们的许多用户可能由于 hash 值散列转储而在其他平台上面临风险,包括一些与加密无关的平台。

因此,在通知用户泄露事件后,我们采取了以下措施:

  • 安全和客服团队在泄露事件后开始加强对可疑活动账户访问的监测,由此导致了多个账户需要重置密码并由客服团队进行人工审查。
  • 在电子邮件发送的当天,北京时间 21:00 ,对提现进行的常规人工审核增加了额外的检查。我们确定了可能表明账户被入侵的标准,并取消了以下情况账户提现申请:(i)没有启用双重验证 (2FA) ;(ii)提现至未发生过交易的比特币地址;(iii)从未出现过的IP 地址提交提现申请;(iv)在电子邮件地址泄露事件后发出提现申请。所有其他提现申请均不受影响。以上行动是为了保护我们的用户和那些已经联络的受影响用户。
  • 目前发现有人正在收集 BitMEX 的电子邮件地址并可能使它们受到安全威胁,BitMEX 工程师强制要求所有尚有余额且没有启用双重验证(2FA)的用户重置密码。在经过全面的质量审查并肃清原始错误后,我们已通过电子邮件通知受影响的用户。
  • BitMEX 客服(客服链接)正在和更多团队合力工作,无间断地处理用户需求,帮助用户更改电子邮件地址,回答问题,提供安全评估和建议。

如果您担心个人信息在 BitMEX 或任何其他平台上泄露,最好的办法是从修改您的电子邮件地址开始,在所有关键服务上启用双重验证(2FA)。我们已经发布了相关建议以及其他包括 Paul Stamatiou 的实用指南

BitMEX 工程团队正在研发增加平台安全密钥数量的新功能,改善账户通知的信息方式,为用户提供更多避免和控制账户入侵的工具。

您需要做什么?

尽管没有任何电子邮件地址以外的账户详细信息和个人信息遭到泄露,但为了安全防护,我们建议您:

  • 谨防钓鱼行为。BitMEX 的电子邮件只会从 ”support@bitmex.com” 和 ”noreply@bitmex.com” 发出。我们建议把这些地址添加到联系人列表中。我们绝不会要求您给出密码。
  • 请注意 BitMEX 绝不会要求您转账。充值您的 BitMEX 账户的唯一方法是将比特币发送到您唯一的 BitMEX 存款地址。您唯一的 BitMEX 存款地址将以 ” 3BMEX” 或 ” 3BitMEX” 开头,您可以在 BitMEX 账户的存款页面查询
  • 请关注我们的官方 BitMEX 通讯渠道您只需参考这些渠道发出的相关指导
  • 请使用强有力的密码来保护您的账户;为您的所有账户( BitMEX 和个人账户)启用双重验证(2FA);并使用密码管理器。 


我们想向您再次保证,除了电子邮件地址之外,没有任何个人或账户信息被泄露。 在此问题发生期间,我们的任何系统都没有受到威胁,它们仍然是安全的,我们也会继续采取措施来增强我们的安全性。 您的隐私和安全仍然是我们的首要任务。

同时,如果您需要一些即时的帮助,请通过 联系 页面联络我们的客服。

 

Vivien Khoo
代理首席运营官