Noticias
BitMEX aclara las circunstancias del hackeo y filtración de correos electrónicos
El Exchange BitMEX vivió una infracción el 1 de noviembre a las 06:00 UTC: sus usuarios recibieron un correo electrónico con todas las direcciones de correo electrónico visibles. El episodio despertó muchas dudas sobre la privacidad de los usuarios en el Exchange.
Por ello, BitMEX publicó al respecto:
“Nos gustaría disculparnos sin reservas por la preocupación que esto ha causado. A continuación se incluye más información sobre lo que sucedió, cómo podemos ayudarlos y algunos pasos que pueden seguir para mejorar su protección».
El Exchange de derivados informó a la comunidad que el correo electrónico recibido por los usuarios era general; se envió para actualizarlos sobre los cambios en la ponderación de sus índices. BitMEX aseguró a la comunidad:
“El cambio en el índice que publicamos el 1 de noviembre fue de suficiente importancia (impactará el precio de todos nuestros productos); consideramos necesario informarlo a todos nuestros usuarios. Sin embargo, los envíos de correo masivo son una tarea difícil y compleja cuando es para todos los destinatarios».
Para tratar esta falla, el Exchange ha creado un sistema interno para manejar la representación, traducción, puesta en escena y envío fragmentado de correos electrónicos importantes.
Tiempo de envío y hackeo
También aclaró que no había enviado correos electrónicos masivos desde 2017, y agregó que BitMEX se dio cuenta de que el proceso tardaría más de 10 horas en completarse si el equipo reescribía la herramienta para «enviar llamadas
API SendGrid individuales en lotes de 1,000 direcciones». Agregó:“Desafortunadamente, debido a las limitaciones de tiempo, esto no se sometió a nuestro proceso normal de control de calidad. No se entendió de inmediato que la llamada a la API crearía un campo literal ‘con destino’ concatenado, que filtraría las direcciones de correo electrónico de los clientes. Tan pronto como nos dimos cuenta, evitamos que se enviaran más correos electrónicos y abordamos la raíz del problema”.
La declaración también señaló que BitMEX perdió el control de su cuenta de Twitter ante un individuo externo. Sin embargo, lo recuperaron en 6 minutos. El equipo ha estado investigando el evento y el caso está actualmente bajo una revisión de seguridad. Aunque no se ha revelado información de la cuenta, el Exchange propuso una serie de pasos a seguir por los usuarios afectados.
Además, ha instado a los usuarios para que habiliten la Autenticación de Dos Factores (2FA) en todas las cuentas, al tiempo que les pide que utilicen un administrador de contraseñas.