نمایندگان ترزور، لجر و تعدادی دیگر از شرکتهای مرتبط، در پاسخ به ادعای ضعف امنیتی محصولاتشان، اعلام کردند که این اشکالات امنیتی سالها پیش رفع شدهاند و در حال حاضر مشکل امنیتی در ارتباط با آنها وجود ندارد.
به نقل از کوین تلگراف و به گزارش «آندر د بریچ» (Under The Breach)، روز ۲۴ می (۴ خرداد) یک هکر موفق شده بود تا با دور زدن پروتکلهای حریم خصوصیِ شرکتهایی نظیر ترزور، لجر و «Bnktothefuture»، به دادههای کاربران دسترسی پیدا کند. آدرس ایمیل، آدرس منزل و شماره تلفنها، از جمله این اطلاعات بودهاند.
آندر د بریچ ادعا میکند که این هکر به سه پایگاه داده بزرگ که شامل اطلاعات بیش از ۸۰,۰۰۰ مشتری این شرکتهاست، دسترسی پیدا کرده است. طبق شایعات، گفته میشود که وجود یک باگ در سیستم شاپیفای (Shopify)، باعث شده است تا هکر بتواند این اطلاعات را در اختیار بگیرد. شاپیفای یک پلتفرم تجارت الکترونیک است که به تعدادی از شرکتهای بزرگ در حوزه ارزهای دیجیتال خدمات ارائه میکند.
اطلاعات تازه نشان میدهد که رخنه امنیتی به این شرکتها، اشتباه بوده است. از زمان انتشار این خبر تا به اینجا، شرکتهایی که گفته میشود درگیر این حملات بودهاند، اعلام کردهاند که ادعای آندر د بریچ سندیت ندارد و شواهدی برای اثبات آنها در دست نیست. سخنگوی شاپیفای در این باره گفت:
این ادعاها را بررسی کردیم تا اثباتشان کنیم، هیچ مدرکی دال بر نفوذ [بیگانه] به سیستم شاپیفای یافت نشد.
در اقدامی مشابه، اعضای تیم امنیتی لجر نیز به دنبال کاهش واهمه مشتریانشان از در خطر قرار داشتنِ سرمایهها، تحقیقاتی را ترتیب دادند. این شرکت با انتشار یک پست جامع در وبلاگ خود، اعلام کرد که شایعات پیرامون افشای اطلاعات کاربران از فروشگاه اینترنتی لجر، صحت نداشته است. در بخش دیگری از این پست آمده است که تیم امنیتی لجر، نمونه دادهها را بررسی و پس از آن تایید کرده است که این دادهها با دادههای کلاینت این شرکت همخوانی ندارد.
در پایان، لجر با اشاره به ادعای خبرگزاریها مبنی بر دسترسی هکرها به پایگاه داده کلاینت این شرکت در سال ۲۰۱۶ و به واسطه اشکال امنیتی شاپیفای، اعلام کرد که شاپیفای در حال حاضر بهعنوان یک ارائهدهنده خدمات و به صورت شخص ثالث با این شرکت همکاری دارد و مشکل سال ۲۰۱۶ ارتباطی با آنها ندارد.
متیو ریو (Matthieu Riou)، مدیر بخش فنی پلتفرم بلاک سایفر (BlockCypher) که به این شرکتها خدمات ابری ارائه میکند، در مصاحبهای اعلام کرد که تیم تحلیل این پلتفرم، اتفاقات پیش آمده را تحلیل کرده و به این نتیجه رسیده است که اطلاعات افشاشده به سالیان قبل برمیگردد و حالا بار دیگر بر سر زبانها افتاده است. او در بخش دیگری از صحبتهایش گفت:
مثلا تعداد کاربرانی که هکرها از آنها یاد کردهاند (۲,۳۵۸) خود بیانگر این مسئله است. نکته مثبت قضیه اینجاست که در حال حاضر کاربران ما بسیاری بیشتر از این رقم است. این رقم، همان مقداری است که در افشای اطلاعاتِ مارس ۲۰۱۶ (اسفند ۹۴) و در سیستم قبلی با آن روبهرو شدیم.
ریو در ادامه صحبتهایش گفت که پس از اتفاقات سال ۲۰۱۶، توسعهدهندگان این شرکت، تمام رابط برنامهنویسیِ مدیریت توکنها را از ابتدا تا انتها بازنویسی کردهاند. به همین دلیل نیز کاربران مجبور شدند تا به پلتفرم جدید رفته و بار دیگر با نام کاربری و رمز عبور تازه ثبت نام کنند. او در ادامه افزود:
چند سالی میشود که در سیستمی بهبودیافته فعالیت میکنیم و هیچ مشکلی هم نداشتیم. نمیتوانیم در ارتباط با اطلاعاتی که از شرکتهای دیگر میآیند و ویژگیهای آنها صحبت کنیم.
کیف پول لجر و ترزورپیتر ویکارلی (Peter Vecchiarelli)، مدیر عملیاتی اوگر (Augur)، پلتفرمی که هکرها ادعا میکنند با نفوذ به این پلتفرم اطلاعات مشتریانش را به سرقت بردهاند، نیز این اظهارات را رد کرده است. به گفته او، این اطلاعات مربوط به سال ۲۰۱۶ است و هکرها در آن زمان به این اطلاعات دسترسی پیدا کردهاند. او در این باره افزود که تیم امنیتی این پلتفرم با بررسی صحت اطلاعات، به این نتیجه رسیدهاند که اسامی این فهرست، با ایمیلهای خصوصیِ بازاریابی و سرمایهگذاری جمعی اوگر همخوانی ندارد. او همچنین اعلام کرد که این فهرست از طریق افرادی بهدست آمده است که ایمیل خود را در کانال اسلک (Slack)، به صورت عمومی در اختیار دیگران قرار بودند. این کانال توسط این شرکت اداره میشده است.
مارک پالاتینوس (Marek Palatinus)، مدیرعامل ساتوشی لبز (Satoshi Labs) که مسئول ساخت چندین کیف پول سختافزاری برای ترزور بوده است، در مصاحبهای اعلام کرد که مردم باید بدانند که صحبتها در ارتباط با درز اطلاعات منطقی نیست و اطلاعات ساختگی در میان آنها به وفور یافت میشود. او همچنین افزود که فروشگاه اینترنتی ترزور از شاپیفای استفاده نمیکند و این شرکت از پروتکلهایی بهره میبرد که افشای هویت افراد را مشکل میسازد. او در ادامه گفت:
حتی اگر دادهها از طریق دست اندرکاران فروشگاه اینترنتی لو رفته باشند، کلیدهای کیف پولها در اختیار کسی قرار نگرفته است. از همین رو اگر هکر یا هر فرد دیگری به کیف پول دسترسی داشته باشد، نمیتواند به کلیدهای خصوصی که در داخل کیف پول سختافزاری قرار دارد، دسترسی داشته باشد. ترزور هیچ اطلاعاتی از کیف پولهای سختافزاری یا نرمافزار ترزور والت (Trezoe Wallet) را ذخیره نمیکند.
جنبه دیگری از این ماجرا، به صرافیهای ارزهای دیجیتال برمیگردد. هکرها ادعا کردهاند که از میان اطلاعاتی که در اختیار دارند، اطلاعات مشتریان برخی از صرافیهای مشهور نظیر کوینیجی (Coinigy)، بیتسو (BitSo) و پلاتوس نیز وجود دارد.
ویلیام کل (William Kehl)، از بنیانگذاران کوینیجی، در مصاحبهای اعلام کرد که در سال ۲۰۱۶ و پس از لو رفتن حساب استرایپ (Stripe) یکی از شرکای آنها، هکرها توانستند تا به اطلاعات بیش از ۵۰۰ مشتری دست پیدا کنند. به گفته او اطلاعاتی نظیر چهار رقم آخر کارت بانکی، اسامی، آدرس محل زندگی و آدرس ایمیل آنها در اختیار هکرها قرار گرفته بود. این در حالی است که کل عنوان میکند هیچ یک از پایگاههای داده داخلی آنها با مشکل مواجه نشده بود. او در ادامه افزود:
بلافاصله پس از این اتفاق، از آن آگاه شدیم و به سرعت ضمن مسدود کردن این حسابها، کل پلتفرم را از دسترس خارج کردیم. از تمام کاربران خواستیم تا اطلاعات امنیتی خود را بازبینی کنند. بهروزرسانی کلمه عبور و کلیدهای API جدید از جمله این اقدامات بود. پس از آن، پلتفرم را بار دیگر راهاندازی کردیم. اطلاعاتی که در اختیار هکرها قرار دارد، از طریق پایگاه داده ما به دست نیامده است، بلکه از طریق دسترسی چند دقیقهای به برخی از خدمات شخص ثالثی که استفاده میکردیم، بوده است.
سخنگوی صرافی مکزیکی بیتسو نیز در مصاحبهای اعلام کرد که تیم امنیتی این صرافی با بررسی اطلاعات، به این نتیجه رسیدهاند که شرایط عادی است. او در ادامه افزود:
پروتکلهایی از پیش تعیینشده برای این شرایط را فعال کردیم و به کاربران نیز در این خصوص اطلاع خواهیم داد. فعلا، هیچ مدرکی دال بر اینکه شخصی ثالث به اطلاعات حسابهای مشتریان دسترسی پیدا کرده باشد، وجود ندارد.
دیوید موریسون (David Morrison)، مدیر جامعه پلاتوس، نیز ضمن اعلام این مسئله که تحقیقاتی در رابطه با حملات صورت گرفته است، افزود که تیم امنیتی این شرکت موفق به پیدا کردن شواهدی مبنی بر حملات هکرها نشدهاند. او در این خصوص اظهار کرد:
تا به اینجا مدرک محکمی مبنی بر موفق آمیز بودن هک بدست نیاوردیم. صرفنظر از موفق آمیز بودن یا نبودن، اقدامات احتیاطی لازم انجام شده است و به خوبی نیز به اطلاع مشتریانمان خواهد رسید.
۱۹ می (۳۰ اردیبهشت)، شرکت بلاکفای (BlockFi) اعلام کرد که به واسطه انجام حمله تعویض سیمکارت، اطلاعات مشتریان این شرکت لو رفته است. اسامی کامل، آدرس ایمیل، آدرس فیزیکی و تاریخ تولد از جمله این اطلاعات بود. در موردی مشابه، ایتانا (Etana)، یک شرکت ارائهدهنده خدمات کاستودی (نگهداری سرمایه) به صرافیهایی نظیر کراکن، اعلام کرد که قربانی حملاتی مشابه شده است.
گفته میشود که سرمایههای کاربران تحت تاثیر این حملات قرار نگرفته است.
The post هک کیف پولهای سختافزاری لجر و ترزور رد شد appeared first on ارزدیجیتال.