Криптовалютная деривативная биржа BitMEX опубликовала обновленную информацию по поводу инцидента с утечкой данных своих пользователей, который произошел на прошлой неделе. По сообщению биржи, к массовому раскрытию электронных адресов клиентов привела ошибка в коде внутренней системы биржи для массовых email-рассылок. Многие адреса были уже неактивны и никаких другие персональные данные не были раскрыты.
Нарушение безопасности было выявлено 1 ноября, когда клиенты биржи получили сообщение по email о текущем обновлении и смогли просмотреть адреса электронной почты других получателей этого письма. Предполагалось, что ошибку совершило лицо, ответственное за отправку почты, указав адреса почтовой рассылки в поле получателей копии письма (CC), а не в поле скрытых получателей (BCC).
Однако, биржа опровергла эту версию произошедшего. Компания рассказала, что время от времени ей приходится рассылать уведомления клиентам, а сторонние организации не смогли удовлетворить капризную биржу, поэтому пришлось разработать собственный алгоритм рассылки. Письма рассылались пакетами по 1000 адресов, а результате каждое письмо раскрыло данные 1000 пользователей. Из-за спешки биржа не провела стандартную в таких случаях проверку качества. По признанию биржи, проблема безопасности затронула «большинство» пользователей.
Когда служба безопасности получила информацию о том, что злоумышленники начали работу по сбору электронных адресов пользователей, инженеры компании сбросили пароли всех клиентов с активными аккаунтами, не пользовавшихся двухфакторной аутентификацией.
Биржа еще раз подчеркнула, что помимо адресов электронной почты, никакая другая личная информация не была разглашена.
