An ninh mạng của FTX rất tệ

Nguồn bài viết

FTX, sàn giao dịch tiền điện tử được yêu thích một thời đã sụp đổ trong một vụ hỏa hoạn bất chính về tài chính vào tháng 11 năm ngoái, dường như không quan tâm nhiều đến việc bảo vệ tài sản kỹ thuật số của khách hàng.

Thật vậy, báo cáo phá sản mới nhất của công ty tiết lộ rằng, ngoài việc quản lý tài chính của mình giống như sự giao thoa giữa một con khỉ Jim-Beam-swigging và một hoàng đế La Mã trụy lạc, sàn giao dịch tiền điện tử bị thất sủng rõ ràng còn có một số hoạt động an ninh mạng tồi tệ nhất có thể tưởng tượng được.

Đúng, công ty này chỉ yêu cầu được hack. Và, tất nhiên, nó đã làm.

Tháng 11 năm ngoái, chưa đầy 24 giờ sau khi công ty tuyên bố phá sản theo Chương 11 và không lâu sau khi lãnh đạo cũ của công ty, Sam Bankman-Fried (hoặc, SBF) thôi giữ chức Giám đốc điều hành, công ty đã phải hứng chịu một vụ cướp kỹ thuật số lớn do một số kẻ vẫn chưa xác định được danh tính thực hiện. ra đi với tài sản trị giá 432 triệu đô la, một gói tiền kỹ thuật số vẫn chưa được tính đến—giống như rất nhiều tiền của khách hàng FTX.

Vào thời điểm đó, sự cố hack dường như chỉ là một tin xấu bên cạnh một món bánh su vốn đã rất hoành tráng, nhưng bây giờ chúng ta có thêm một chút bối cảnh cho tập phim. Thật vậy, báo cáo hôm thứ Hai, trong đó xem xét rộng rãi sự thất bại hoàn toàn của công ty trong việc thiết lập các biện pháp bảo vệ kỹ thuật số khá cơ bản, là một kiệt tác truyện tranh sẽ khiến bạn tự hỏi làm thế nào mà công ty không bị tấn công sớm hơn.

“Tập đoàn FTX đã không thực hiện được các biện pháp kiểm soát bảo mật cơ bản, được chấp nhận rộng rãi để bảo vệ tài sản tiền điện tử. Mỗi thất bại đều nghiêm trọng trong bối cảnh một doanh nghiệp được ủy thác các giao dịch của khách hàng,” báo cáo nêu rõ. Dưới đây là một số bài học về những thất bại đó.

FTX không có nhân viên bảo mật

Mặc dù là một công ty được giao nhiệm vụ bảo vệ hàng chục tỷ đô la tài sản tiền điện tử, FTX không có nhân viên an ninh mạng chuyên trách. Không có. Thật vậy, công ty không bao giờ bận tâm đến việc thuê một CISO (giám đốc an ninh thông tin) để quản lý rủi ro của công ty cho họ. Thay vào đó, họ dựa vào hai trong số các nhà phát triển phần mềm của công ty, theo báo cáo, họ không được đào tạo chính thức về lĩnh vực bảo mật và công việc của họ khiến họ gặp khó khăn trong việc ưu tiên bảo mật. Báo cáo nêu rõ:

Tập đoàn FTX không có Giám đốc An ninh Thông tin độc lập, không có nhân viên được đào tạo hoặc có kinh nghiệm phù hợp được giao nhiệm vụ hoàn thành trách nhiệm của vai trò đó và không có quy trình được thiết lập để đánh giá rủi ro mạng, thực hiện kiểm soát bảo mật hoặc ứng phó với sự cố mạng trong thời gian thực. ..như với các biện pháp kiểm soát quan trọng trong các lĩnh vực khác, Tập đoàn FTX đã loại bỏ hoàn toàn và bỏ qua các biện pháp kiểm soát an ninh mạng, một thực tế đáng chú ý là về bản chất, toàn bộ hoạt động kinh doanh của Tập đoàn FTX—tài sản, cơ sở hạ tầng và tài sản trí tuệ—bao gồm mã máy tính và công nghệ .

Đúng là rất nhiều công ty công nghệ gặp phải tình trạng thiếu nhân sự khi nói đến an ninh mạng nhưng điều đó thực sự chỉ có thể bào chữa được nếu bạn là một công ty kỳ lân hoặc một công ty mới thành lập và không có nhân lực hoặc vốn để thuê những người có năng lực. Trong những ngày trước khi bùng nổ, FTX được báo cáo trị giá tới 32 tỷ đô la. Chỉ cần nói rằng, tôi nghĩ họ có thể thuê một anh chàng.

FTX Hầu như không bao giờ sử dụng kho lạnh

Một điều thực sự ngớ ngẩn khác mà FTX đã làm là không giữ tài sản tiền điện tử của người dùng trong kho lạnh — một phương pháp bảo mật tiêu chuẩn mà hầu hết các sàn giao dịch tiền điện tử đều tuyên bố tuân thủ.

Nói chung, tài sản tiền điện tử có thể được lưu trữ theo hai cách riêng biệt: “ví nóng”, là tài khoản dựa trên phần mềm được kết nối với internet; và “kho lạnh”, là một hình thức lưu trữ ngoại tuyến, dựa trên phần cứng. Kho lạnh được coi là an toàn, trong khi “ví nóng” rủi ro hơn, bởi vì—được liên kết với web—chúng có thể (và thường xảy ra) bị tấn công.

Sự khôn ngoan phổ biến cho thấy rằng các công ty chỉ giữ nhiều tiền điện tử trong ví nóng khi cần thiết để giữ cho tài khoản thanh khoản, trong khi phần còn lại của tiền điện tử nên được giữ trong kho lạnh. Tuy nhiên, FTX đã không làm điều đó; thay vào đó, báo cáo cho biết họ giữ “hầu như tất cả” tài sản của khách hàng trong ví nóng.

FTX không biết rằng kho lạnh an toàn hơn hay sao? Không, tệ hơn là quá ngu ngốc để thực hiện các biện pháp kiểm soát phù hợp, ban lãnh đạo của sàn giao dịch dường như đã không làm được gì nhiều.

“Nhóm FTX chắc chắn đã nhận ra cách hoạt động của một sàn giao dịch tiền điện tử thận trọng, bởi vì khi được các bên thứ ba yêu cầu mô tả mức độ sử dụng kho lạnh, họ đã nói dối,” báo cáo nêu rõ, liệt kê một số ví dụ trong đó các giám đốc điều hành của FTX— bao gồm cả SBF—tuyên bố rằng họ giữ tài sản của người dùng trong kho lạnh. Trong một trường hợp, công ty đã nói với các nhà đầu tư rằng, để phù hợp với các phương pháp hay nhất trong ngành, họ đã giữ một lượng nhỏ tiền điện tử trong ví nóng, trong khi phần còn lại được “lưu trữ ngoại tuyến trong máy tính xách tay được mã hóa bằng không khí, được phân phối theo địa lý”. Nhưng điều này, theo báo cáo, chỉ là chuyện nhảm nhí.

Thay vào đó, như báo cáo lưu ý, “Tập đoàn FTX ít sử dụng kho lạnh” ngoại trừ ở Nhật Bản, “nơi [quy định] yêu cầu sử dụng” nó.

Khóa riêng không được mã hóa

Một điều hoàn toàn ngu ngốc khác mà FTX nhìn trộm đã làm là giữ các khóa mật mã nhạy cảm của khách hàng và các cụm từ gốc được lưu trữ trong các tài liệu văn bản gốc mà nhân viên rõ ràng có thể truy cập được.

Trong tiền điện tử, khóa hoặc cụm từ hạt giống là mật khẩu đưa bạn vào ví cá nhân của người dùng. Chỉ cần nói rằng, các tiêu chuẩn ngành buộc các sàn giao dịch tiền điện tử phải mã hóa thông tin đó và do đó, an toàn trước những con mắt tò mò. Không phải vậy, với FTX—dường như giữ các khóa có thể mở ví trị giá hàng chục triệu đô la không được mã hóa, ở dạng văn bản rõ ràng, chỉ nằm rải rác trong AWS.

Theo báo cáo, đây là một phần của cách tiếp cận bảo mật nói chung là vô tổ chức, trong đó “các khóa riêng và cụm từ gốc được FTX.com, FTX.US và Alameda sử dụng được lưu trữ ở nhiều vị trí khác nhau trong môi trường máy tính của Tập đoàn FTX trong một cách vô tổ chức, sử dụng nhiều phương pháp không an toàn và không có bất kỳ thủ tục thống nhất hoặc tài liệu nào.”

Nhóm FTX không thực sự sử dụng MFA

SBF và nhóm hipster vui vẻ của anh ấy rõ ràng cũng “không thực thi hiệu quả việc sử dụng” xác thực đa yếu tố—một hình thức bảo mật web rất cơ bản mà hầu hết mọi người làm việc trong văn phòng đều biết. Báo cáo được phát hành gần đây nói rằng ban lãnh đạo của sàn giao dịch tiền điện tử “đã không thực hiện theo cách phù hợp ngay cả các biện pháp kiểm soát được chấp nhận rộng rãi nhất liên quan đến Quản lý danh tính và truy cập (“IAM”). Điều này bao gồm việc không thể sử dụng MFA cũng như các dịch vụ đăng nhập một lần—cũng được nhiều người coi là phương pháp hay nhất trong ngành.

Và nhiều, nhiều hơn nữa!

Chỉ cần nói rằng, có rất nhiều sơ suất bảo mật vui nhộn khác mà FTX dường như đã phạm phải, vì vậy tôi khuyên bạn nên đọc toàn bộ báo cáo nếu bạn muốn há hốc mồm.