كان الأمن السيبراني لشركة FTX سيئًا بشكل مثير للفرح

مصدر المقال

يبدو أن FTX ، بورصة العملات المشفرة التي كانت محبوبة ذات يوم والتي سقطت وسط ألسنة اللهب المالية الخبيثة في نوفمبر الماضي ، لم تهتم كثيرًا بحماية الأصول الرقمية لعملائها.

في الواقع ، يكشف أحدث تقرير عن إفلاس الشركة أنه بالإضافة إلى إدارة مواردها المالية مثل التقاطع بين قرد متهور من Jim-Beam وإمبراطور روماني فاسد ، يبدو أن بورصة العملات المشفرة لديها أيضًا بعض أسوأ ممارسات الأمن السيبراني التي يمكن تخيلها.

نعم ، كانت هذه الشركة تطلب فقط اختراقها. اي نعم لقد فعل.

في تشرين الثاني (نوفمبر) الماضي ، بعد أقل من 24 ساعة من إعلان الشركة إفلاسها بموجب الفصل 11 ، وبعد فترة قصيرة من تنحي رئيسها السابق ، سام بانكمان-فرايد (أو SBF) من منصبه كرئيس تنفيذي ، عانت الشركة من عملية سطو رقمية ضخمة ارتكبها بعض المدمنين المجهولين. مع 432 مليون دولار من الأصول ، وهي حزمة من النقد الرقمي لا يزال مصيرها غير محسوب - تمامًا مثل الكثير من أموال عملاء FTX.

في ذلك الوقت ، بدا حادث القرصنة وكأنه مجرد أخبار سيئة أكثر من مجرد مثلجات ملحمية بالفعل ، ولكن لدينا الآن سياق أكثر قليلاً للحلقة. في الواقع ، يعد تقرير يوم الاثنين ، الذي يستعرض على نطاق واسع فشل الشركة التام في إنشاء وسائل حماية رقمية أساسية تمامًا ، تحفة كوميدية تجعلك تتساءل كيف لم تتعرض الشركة للاختراق سابقًا.

فشلت مجموعة FTX في تنفيذ ضوابط أمان أساسية ومقبولة على نطاق واسع لحماية أصول التشفير. كان كل إخفاق فادحًا في سياق عمل مكلف بمعاملات العملاء "، كما جاء في التقرير. فيما يلي بعض النصائح حول هذه الإخفاقات.

لم يكن لدى FTX طاقم أمن

على الرغم من كونها شركة مكلفة بحماية عشرات المليارات من الدولارات من الأصول المشفرة ، لم يكن لدى FTX طاقم متخصص في الأمن السيبراني. لا أحد. في الواقع ، لم تهتم الشركة أبدًا بتوظيف CISO (كبير مسؤولي أمن المعلومات) لإدارة مخاطر الشركة بالنسبة لهم. وبدلاً من ذلك ، اعتمدوا على اثنين من مطوري برمجيات الشركة الذين ، كما يشير التقرير ، لم يتلقوا تدريبًا رسميًا في مجال الأمن والذين تضعهم وظائفهم على خلاف مع إعطاء الأولوية للأمن. وجاء في التقرير:

لم يكن لدى مجموعة FTX رئيس مستقل لأمن المعلومات ، ولا موظف لديه تدريب مناسب أو خبرة مكلف بالوفاء بمسؤوليات هذا الدور ، ولا توجد عمليات راسخة لتقييم المخاطر السيبرانية ، أو تنفيذ ضوابط أمنية ، أو الاستجابة للحوادث السيبرانية في الوقت الفعلي. .. كما هو الحال مع الضوابط الحاسمة في مجالات أخرى ، قامت مجموعة FTX بإلغاء أولويات ضوابط الأمن السيبراني وتجاهلها ، وهي حقيقة ملحوظة بالنظر إلى أن الأعمال الكاملة لمجموعة FTX - أصولها وبنيتها التحتية وملكيتها الفكرية - تتكون من رمز الكمبيوتر والتكنولوجيا .

من المؤكد أن الكثير من شركات التكنولوجيا تعاني من نقص في الموظفين عندما يتعلق الأمر بالأمن السيبراني ، لكن هذا حقًا لا يمكن تبريره إلا إذا كنت وحيد القرن أو شركة ناشئة وليس لديك القوة البشرية أو رأس المال لتوظيف أشخاص أكفاء. في الأيام التي سبقت انفجارها الداخلي ، ورد أن FTX بلغت قيمتها 32 مليار دولار. يكفي القول ، أعتقد أنه كان بإمكانهم توظيف رجل.

لم تستخدم FTX كثيرًا أبدًا التخزين البارد

الشيء الآخر الغبي حقًا الذي فعلته FTX هو الفشل في الاحتفاظ بأصول التشفير الخاصة بمستخدميها في التخزين البارد - وهي ممارسة أمان قياسية تدعي معظم بورصات العملات المشفرة أنها تلتزم بها.

بشكل عام ، يمكن تخزين الأصول المشفرة بطريقتين منفصلتين: "المحافظ الساخنة" ، وهي حسابات قائمة على البرامج متصلة بالإنترنت ؛ و "التخزين البارد" ، وهو شكل من أشكال التخزين القائمة على الأجهزة دون اتصال بالإنترنت. يعتبر التخزين البارد آمنًا ، في حين أن "المحافظ الساخنة" تكون أكثر خطورة ، لأنها - كونها مرتبطة بالويب - يمكن (وغالبًا ما يحدث ذلك) الاختراق.

تشير الحكمة الشائعة إلى أن الشركات تحتفظ بنفس القدر من العملات المشفرة في المحافظ الساخنة حسب الضرورة للحفاظ على سائلة الحسابات ، بينما يجب الاحتفاظ ببقية العملات المشفرة في التخزين البارد. ومع ذلك ، فإن FTX لم تفعل ذلك. بدلاً من ذلك ، يقول التقرير إنه احتفظ بـ "جميع" أصول عملائه تقريبًا في محافظ ساخنة.

ألم تعلم FTX أن التخزين البارد كان أكثر أمانًا أو شيء من هذا القبيل؟ كلا ، أسوأ من كونها غبية جدًا في تنفيذ الضوابط المناسبة ، يبدو أن قيادة البورصة لم تهتم كثيرًا.

"لقد أدركت مجموعة FTX بلا شك كيف يجب أن تعمل بورصة العملات المشفرة الحكيمة ، لأنه عندما سألتها أطراف ثالثة لوصف مدى استخدامها للتخزين البارد ، فإنها كذبت" ، كما ورد في التقرير ، مدرجًا عددًا من الأمثلة التي قام فيها مدراء FTX التنفيذيون - بما في ذلك SBF - ادعى أنهم احتفظوا بأصول المستخدمين في التخزين البارد. في إحدى الحالات ، أخبرت الشركة المستثمرين أنها ، تماشياً مع أفضل الممارسات الصناعية ، احتفظت بكمية صغيرة من العملات المشفرة في المحافظ الساخنة ، بينما تم تخزين الباقي في وضع عدم الاتصال في أجهزة الكمبيوتر المحمولة المشفرة بالهواء ، والتي يتم توزيعها جغرافياً. لكن هذا كان ، وفقًا للتقرير ، مجرد هراء.

بدلاً من ذلك ، كما يشير التقرير ، "استخدمت مجموعة FTX القليل من التخزين البارد" باستثناء اليابان ، "حيث [كان] مطلوبًا بموجب اللوائح لاستخدامها".

تُركت المفاتيح الخاصة بدون تشفير

الشيء الآخر الغبي تمامًا الذي قام به مراقبو FTX هو الاحتفاظ بمفاتيح التشفير الحساسة للعملاء والعبارات الأولية المخزنة في مستندات ذات نص عادي كان من الممكن الوصول إليها على ما يبدو من قبل الموظفين.

في التشفير ، المفتاح أو العبارة الأولية هي كلمة المرور التي تجعلك داخل المحفظة الفردية للمستخدم. يكفي القول ، إن معايير الصناعة تجبر عمليات تبادل العملات المشفرة على الحفاظ على تلك المعلومات مشفرة ، وبالتالي آمنة من أعين المتطفلين. ليس الأمر كذلك ، مع FTX - التي احتفظت على ما يبدو بمفاتيح يمكنها فتح محافظ بقيمة عشرات الملايين من الدولارات غير مشفرة ، بنص عادي ، موجودة في AWS.

وفقًا للتقرير ، كان هذا جزءًا لا يتجزأ من نهج غير منظم بشكل عام للأمان ، حيث تم تخزين "المفاتيح الخاصة والعبارات الأولية المستخدمة من قبل FTX.com و FTX.US و Alameda في مواقع مختلفة في جميع أنحاء بيئة حوسبة مجموعة FTX في بطريقة غير منظمة ، باستخدام مجموعة متنوعة من الأساليب غير الآمنة وبدون أي إجراءات موحدة أو موثقة ".

لم تستخدم عصابة FTX أسلوب العائالت المتعددة MFA حقًا

يبدو أن SBF وفرقته المرحة من محبو موسيقى الجاز "فشلوا في فرض استخدام" المصادقة متعددة العوامل بشكل فعال - وهو شكل أساسي جدًا من أمان الويب يعرفه تقريبًا كل من يعمل في المكتب. يشير التقرير الذي تم إصداره مؤخرًا إلى أن قيادة بورصة العملات المشفرة "فشلت في التنفيذ بطريقة مناسبة حتى أكثر الضوابط المقبولة على نطاق واسع فيما يتعلق بإدارة الهوية والوصول (" IAM "). وشمل ذلك الفشل في استخدام أسلوب العائالت المتعددة MFA بالإضافة إلى خدمات تسجيل الدخول الأحادي - والتي تعتبر أيضًا على نطاق واسع من أفضل الممارسات الصناعية.

والكثير الكثير!

يكفي القول ، هناك الكثير من الجواهر المرحة الأخرى للإهمال الأمني التي يبدو أن FTX قد ارتكبتها ، لذلك أقترح قراءة التقرير الكامل إذا كنت تريد أن يسقط فكك على الأرض.