Saugumo pažeidimas smogė kriptografijos įmonės vadovybei
Paryžiuje įsikūrusi atvirojo kodo kriptografijos kūrėja Zama antradienį patvirtino, kad įsilaužėliai gavo neteisėtą prieigą prie Chief Operating Officer Jeremy Bradley patvirtintos X paskyros. Pažeistoje paskyroje buvo pradėti skelbti pranešimai, raginantys sekėjus per sukčiavimo saitą reikalauti neegzistuojančių ZAMA žetonų.
Manau, kad tai ypač svarbu, nes Zama specializuojasi visiškai homomorfinio šifravimo technologijoje. Jų darbas sutelktas į užšifruotų duomenų skaičiavimo įgalinimą, prieš tai jų neiššifruojant. Tikėtumėte, kad tokią patirtį turinti įmonė turės tvirtą saugumo praktiką. Bet štai, jų COO socialinės žiniasklaidos paskyra pažeista.
Socialinės žiniasklaidos atakų modelis
Tai nėra pavienis įvykis. Tiesą sakant, pernai „blockchain“ projektai patyrė 47 panašius vadovų paskyrų kompromisus. Išpuoliai vyksta pagal nuspėjamąjį modelį: gaukite prieigą per sukčiavimą arba kredencialų vagystę, apsimetinėkite vadovais, kad užtikrintumėte patikimumą, tada įdiekite apgaulingus ryšius, kad nusausintumėte kriptovaliutą nuo aukų.
Galbūt įdomu tai, kad šiose atakose išnaudojamas psichologinis pasitikėjimas, o ne techninis pažeidžiamumas. Žmonės mato patvirtintą įmonės vadovo paskyrą ir mano, kad ji teisėta. Užpuolikai tai žino ir naudojasi savo naudai.
Gydytoja Elena Rodriguez, skaitmeninės kriminalistikos specialistė, atkreipė dėmesį į tai, ką verta apsvarstyti. „Vykdomosios socialinės žiniasklaidos paskyros yra didelės vertės tikslai“, – pažymėjo ji. „Užpuolikai išnaudoja psichologinio pasitikėjimo veiksnius, o ne techninius pažeidžiamumus. Ji taip pat paminėjo greito reagavimo iššūkį – kenkėjiški įrašai dažnai išplinta prieš platformos moderatoriams įsikišti.
Pramonės atsakas ir apsaugos priemonės
Kriptografijos bendruomenė kuria atsakomąsias priemones. Daugelyje projektų dabar taikomi pagrindinių pranešimų tikrinimo protokolai, kuriems reikalingi keli patvirtinimo kanalai. Vadovų saugumo mokymai tapo išsamesni, apimantys sukčiavimo atpažinimą ir saugaus autentifikavimo praktikas.
Pramonės organizacijos, tokios kaip „Blockchain Security Alliance“, 2025 m. kovo mėn. paskelbė atnaujintas rekomendacijas. Jų gairėse pabrėžiamos kelios apsaugos priemonės, tačiau kriptovaliutų sektoriuje jų priėmimas išlieka nenuoseklus. Daugelis projektų vis dar remiasi pagrindinėmis saugumo priemonėmis, todėl jie yra pažeidžiami sudėtingų atakų.
Platformos teikėjai bandė pagerinti savo saugumo pasiūlymus. X neseniai pristatė įmonės lygio apsaugą patvirtintoms organizacijoms, įskaitant pažangų stebėjimą ir pagreitintą palaikymą. Tačiau atrodo, kad ne visi naudojasi šiomis funkcijomis.
Platesnis poveikis sektoriui
Šis pažeidimas turi reikšmingų pasekmių ne tik Zamai. Tai pakerta pasitikėjimą oficialiais komunikacijos kanalais – dabar sekėjai gali suabejoti būsimais įmonės vadovų pranešimais. Tai taip pat atskleidžia nuolatinį socialinės žiniasklaidos paskyrų, kurios dažnai yra pagrindinės kriptovaliutų projektų komunikacijos priemonės, pažeidžiamumą.
Čia yra tam tikra ironija. „Zama“ technologija apsaugo duomenis apdorojimo ir saugojimo metu, tačiau jų ryšio kanalams trūko lygiavertės apsaugos. Tai pabrėžia bendrą saugumo akląją zoną – daugelis organizacijų teikia pirmenybę techninei saugai, o ne žmogiškojo faktoriaus pažeidžiamumui.
„CertiK“ 2024 m. ataskaitoje socialinė žiniasklaida nustatyta kaip antras pagal dydį atakos vektorius pramonėje, o tik išmaniųjų sutarčių pažeidžiamumas sukelia daugiau finansinių nuostolių. Ataskaitoje konkrečiai perspėta apie apsimetinėjimo atakas, nukreiptas į projektų vadovus, pažymint, kad nuo 2023 iki 2024 m. šių atakų padaugėjo 217 proc.
Manau, kad šis incidentas rodo, kad visapusiškos saugumo strategijos turi apimti ir technologinius, ir psichologinius aspektus. Net pažangiausia kriptografinė apsauga negali kompensuoti pažeistų ryšio kanalų. Žmogiškasis elementas išlieka kritiniu pažeidžiamumu, kuriam reikia daugiau dėmesio visoje pramonėje.
