Įsilaužėlis išnaudoja indėlių sistemos trūkumą
Indonezijos valdžia sulaikė vietinį įsilaužėlį, kuris tariamai manipuliavo prekybos platformos Markets.com indėlių mechanizmo saugumo trūkumais, kad pavogtų kriptovaliutą už 398 000 USD. Įtariamasis, įvardytas tik kaip HS, buvo suimtas šeštadienį Bandunge, Vakarų Javoje, gavus oficialų Londone įsikūrusios bendrovės „Finalto International Limited“, kuriai priklauso Markets.com, skundą.
Policijos tyrimas atskleidė, kad HS išnaudojo tai, ką jie vadino „anomalija“ platformos vardinėje įvesties sistemoje. Sistema, matyt, sugeneravo USDT likučius pagal bet kokią vartotojo įvestą indėlio sumą, tinkamai nepatvirtinusi. Taip atsirado galimybė apgaulingai pasipelnyti tiesiog įvedus klaidingus indėlių skaičius.
Suklastotos sąskaitos ir pavogtos tapatybės
Remiantis policijos pareiškimais, įtariamasis sukūrė keturias atskiras netikras paskyras vardais Hendra, Eko Saldi, Arif Prayoga ir Tosin. Pranešama, kad jis gavo tikrą Indonezijos nacionalinio asmens tapatybės informaciją, iškrapštydamas viešai prieinamas svetaines, o tada panaudojo šiuos duomenis, kad sukurtų įtikinamą netikrą paskyrų tapatybę.
Valdžios institucijos apibūdino HS kaip kompiuterių priedų platintoją, kuris prekiauja kriptovaliutomis nuo 2017 m. Jie mano, kad jo patirtis technologijų ir kriptovaliutų rinkose padėjo jam nustatyti ir efektyviai išnaudoti sistemos pažeidžiamumą.
Reikšmingas turto areštas
Per sulaikymo operaciją policija konfiskavo svarbius įrodymus ir turtą, įskaitant nešiojamąjį kompiuterį, mobilųjį telefoną, centrinį procesorių, bankomato kortelę ir 152 kvadratinių metrų parduotuvę Bandunge. Visų pirma, jie konfiskavo šaltą piniginę, kurioje buvo 266 801 USD, kurių vertė maždaug 4,2 mln. Toks didelis kiekis šaltoje piniginėje rodo, kad tai galėjo būti ne vienintelė įtariamojo operacija.
Kibernetinių nusikaltimų direktoriaus pavaduotojas Andri Sudarmadi patvirtino, kad HS gresia kaltinimai pagal Indonezijos elektroninių nusikaltimų ir kovos su pinigų plovimu įstatymus. Jei jis bus pripažintas kaltu, jam grės iki 15 metų kalėjimo ir 900 000 USD bauda.
Platesni saugumo padariniai
Kibernetinio saugumo konsultantas Davidas Sehyeonas Baekas žurnalistams sakė, kad nuskaitytų ID duomenų naudojimas rodo, kad įsilaužėlis greičiausiai „kažkas prisijungė prie daug didesnės požeminės duomenų ekosistemos“, o ne dirbo vienas. Jis išreiškė susirūpinimą dėl to, kaip lengvai blogi aktoriai dabar gali „sukurti įtikinamą netikrą tapatybę naudodami nutekintus duomenis ir dirbtinio intelekto įrankius“.
„Daugelis mainų vis dar traktuoja KYC kaip žymės langelio pratimą“, – pažymėjo Baekas ir pridūrė, kad „vien tradicinio KYC nebepakanka“. Jis paragino prekybos platformas imtis išsamesnių saugumo priemonių, įskaitant nuolatinį stebėjimą, įrenginių ir tinklo žvalgybą ir geresnį kelių platformų bendradarbiavimą, kad būtų galima anksti nustatyti sintetines tapatybes.
Baekas mano, kad šis atvejis yra „labai aiškios pramonės tendencijos“, kai užpuolikai pereina nuo sudėtingų išmaniųjų sutarčių įsilaužimų į „paprastesnius įėjimo taškus Web2 sistemose“. Jis konkrečiai paminėjo verslo logikos trūkumus, silpnas API, sugadintą prieigos kontrolę ir prastą užpakalinės sistemos patvirtinimą kaip įprastus išnaudojamus pažeidžiamumus.
Pasak eksperto, tokio tipo saugos problemos dažnai gali būti sprendžiamos naudojant „pagrindinę saugaus kodavimo praktiką, vidinę kodo peržiūrą ir įprastą saugumo testavimą“. Markets.com incidentas yra priminimas, kad net nusistovėjusios prekybos platformos gali turėti esminių saugumo trūkumų, kuriuos sudėtingi užpuolikai gali nustatyti ir išnaudoti.
Manau, čia įdomu tai, kad užpuolikui neprireikė pažangių techninių įgūdžių – tiesiog supratimo, kaip sistema veikė ir kur jos patvirtinimo procesai nepavyko. Tai verčia susimąstyti, kiek kitų platformų gali turėti panašių pagrindinių indėlių ir balanso sistemų trūkumų.
