BitMEX объяснила причину утечки личных данных своих клиентов

Криптовалютная биржа BitMEX выступила с заявлением по поводу инцидента с массовой утечкой email-адресов своих клиентов, который произошел 1 ноября. Биржа уверяет, что никакая другая информация в сеть не попала. Взлом своего Twitter-аккаунта BitMEX не прокомментировала.

We appreciate our users’ patience as we have worked to resolve the recent email privacy issue. We’ve published a blog on everything you need to know about the incident, what happened and next steps. See our blog for details: https://t.co/L3OQtYydV3

— BitMEX (@BitMEXdotcom) November 4, 2019

В ходе массовой рассылки 1 ноября были раскрыты электронные адреса ряда клиентов биржи. Рассылка была создана с целью предупредить пользователей об изменении процентного соотношения данных различных площадок в индексах BitMEX.

Представители BitMEX заявили, что это крайне важная информация, поэтому команда биржи постаралась создать рассылку в кратчайшие сроки — из-за спешки им не удалось проверить правильность работы программного обеспечения. Поскольку сторонние сервисы для рассылки не удовлетворяют требованиям BitMEX, биржа создала собственный API, который позволяет рассылать письма группами по 1 000 адресов.

Именно этот API и стал причиной сбоя. Он не использовал функцию «Скрытая копия», а создавал обобщенное поле «Кому», что и стало причиной утечки. В заявлении биржи сказано, что, как только ее сотрудники узнали об ошибке, отправка сообщений была остановлена. 

Биржа признала, что из-за утечки пострадало большинство ее клиентов, а именно все пользователи, получившие письмо с обобщенным полем «Кому». Те, кто получил письма, адресованные непосредственно им, находятся в безопасности. Пользователи, по каким-то причинам не получившие письма, находятся в группе риска — сообщения могли быть помечены почтовым сервисом как спам.

Автор The Block Ларри Чермак собрал порядка 23 000 email-адресов клиентов биржи, обнаружив среди них людей, которые регистрировали аккаунт с правительственной почты (.gov) и с email-адресов американских университетов (.edu).

UPDATE: I now have access to 23,000 emails that were leaked by BitMEX. Surprisingly, there is only one person that used a .gov email. There were 66 students/alumni that used .edu email. NYU dominates (7 people), followed by Berkley, and University of Michigan. https://t.co/vmcyVz5Uqe

— Larry Cermak (@lawmaster) November 2, 2019

Среди доменов верхнего уровня явно доминирует зона .com. На отечественный национальный домен .ru приходится 1,1% добытых Черамаком адресов. Он отметил, что порядка 70% людей используют в качестве адреса электронной почты комбинацию [имя].[фамилия] — их личности могут быть раскрыты просто по email-адресу.

Распределение email-адресов клиентов BitMEX. Диаграммы из твита Ларри Чермака.

1 of 2

Распределение email-адресов клиентов BitMEX по доменам первого уровня.

Распределение email-адресов клиентов BitMEX по почтовым провайдерам.

Напомним, пользователь @andsvik отметил, что в рассылке биржа раскрыла и собственные электронные адреса. Возможно, что именно через них и был взломан официальный аккаунт BitMEX в Twitter. В выборку Чермака эти адреса не попали.