Grandininėje prekybos platformoje, žinomoje kaip „Thunder Terminal“, įvyko didelis saugumo kompromisas. Dėl išnaudojimo buvo neteisėta prieiga prie 114 iš daugiau nei 14,000 86.5 piniginių, kurie buvo prijungti prie tinklo. Bendra nuostolių suma pasiekė 439 eterio ir 240,000 Solana, o tai yra maždaug XNUMX XNUMX USD. Remiantis pranešimais, užpuolimą, kuris buvo įvykdytas vos per devynias minutes, sukėlė trečiosios šalies paslauga, kuria naudojosi Thunder Terminal ir kuri buvo įsilaužta.
Laikotarpiu 12:11:47 UTC išnaudojimas buvo pradėtas atliekant įtartinus išėmimus iš „Thunder“ piniginių. Užpuolikas galėjo gauti prieigą prie MongoDB ryšio URL, kuris suteikė jiems galimybę atlikti išėmimus naudojant seanso žetonus. „Thunder“ terminalas turi informuoti vartotojų, kad nė vienas jų privatus raktas ar piniginė nebuvo tiesiogiai pažeistas, nepaisant situacijos sunkumo. Dėl to, kad platformos architektūra neišsaugo privačių raktų, tiesioginė prieiga prie vartotojų piniginių, ypač stalinių kompiuterių, nebuvo įmanoma.
Tiesiogiai reaguodamas į saugumo kompromisą, „Thunder Terminal“ ėmėsi skubių pastangų, kad sulaikytų išnaudojimą. Išsiaiškinę neteisėtus veiksmus, jie per devynias minutes juos sustabdė ir pranešė vartotojams, kad visi netinkamai atlikti mokėjimai bus visiškai kompensuoti. Taip pat nukentėjusiems klientams bus suteiktas kompensacijos paketas, kurį sudaro 0% mokesčių ir 100,000 XNUMX USD platformos kreditų. Tuo pačiu metu „Thunder Terminal“ palaikė ryšį su Federaliniu tyrimų biuru ir šiuo metu imasi papildomų saugumo priemonių, tokių kaip dviejų veiksnių patikrinimas išėmimo atveju.
Įsilaužėlis paskelbė pareiškimą, kuriame abejojama vartotojų informacijos saugumu, o tai prieštarauja „Thunder Terminal“ pažadams. Norėdami ištrinti visus vartotojo duomenis, jie siekė penkiasdešimties eterio išpirkos, kuri prilygsta maždaug šimtui dešimčiai tūkstančių dolerių. Dėl įsilaužėlio reikalavimo ir kaltinimų byla buvo dar sudėtingesnė, todėl kyla klausimų dėl duomenų pažeidimo apimties.
Be to, „Thunder Terminal“ pareiškė, kad ketina imtis maksimalių teisinių priemonių Jungtinių Valstijų teismų sistemai tuo atveju, jei išnaudotojas neįvykdys jos reikalavimų, nepaisant to, kad yra atvira deryboms dėl naudotojo atkūrimo. pinigų. Platformos iniciatyvus požiūris tiek saugumo, tiek teisės srityse parodo jos atsidavimą vartotojų apsaugai ir etinių procedūrų įgyvendinimui susidūrus su kibernetinio saugumo pažeidžiamumu.
Vaizdo šaltinis: „Shutterstock“
Šaltinis: https://blockchain.news/news/thunder-terminals-rapid-response-to-240-000-hack-security-measures-and-hackers-ransom-demand