FTX, die einst geliebt Krypto tauschen das aus implodiert in einem Strudel aus finanziellem Fehlverhalten im letzten Jahr, scheint wenig Mühe darauf verwendet zu haben, die digitalen Vermögenswerte seiner Kunden zu schützen. In der Tat, die des Unternehmens letzten Konkursbericht enthüllt, dass die in Ungnade gefallene Krypto-Börse nicht nur ihre Finanzen wie ein ausschweifender römischer Kaiser verwaltete, sondern auch einige der schlimmsten Cybersicherheitspraktiken hatte, die man sich vorstellen kann.
Natürlich wissen wir, dass FTX mindestens seit letztem November, weniger als 24 Stunden nachdem das Unternehmen das Kapitel 11 verkündet hatte, im Cyberbereich versagt hat und seine ehemalige CEO, Sam Bankman-Friedtrat zurück, erlitt das Unternehmen einen massiven Einbruch Cyber Attacke. Während dieses Cyberangriffs, jemand machte sich mit einem Vermögen von 432 Millionen Dollar davon, ein Bündel von Ausgrabungenital Cash, das noch nicht verbucht ist – genau wie noch viel mehr des Geldes von FTX-Kunden.
Zu der Zeit schien der Hacking-Vorfall nur eine weitere schlechte Nachricht zu sein, zusätzlich zu einem bereits epischen Scheiß-Eisbecher, aber jetzt haben wir etwas mehr Kontext für die Episode. Der Bericht vom Montag, der ausführlich das völlige Versagen des Unternehmens bei der Einführung recht grundlegender digitaler Schutzmaßnahmen untersucht, ist ein komisches Meisterwerk, das Sie sich wundern wird, wie das Unternehmen nicht schon früher gehackt wurde.
„Die FTX Group hat es versäumt, grundlegende, weithin akzeptierte Sicherheitskontrollen zum Schutz von Krypto-Assets zu implementieren. Jeder Ausfall war im Kontext eines mit Kundentransaktionen betrauten Unternehmens ungeheuerlich“, heißt es in der Akte. Hier sind einige der Imbissbuden über diese Fehler.
FTX hatte kein Cybersicherheitspersonal
Obwohl es sich bei FTX um ein Unternehmen handelt, das mit dem Schutz von Krypto-Assets in Höhe von mehreren zehn Milliarden Dollar beauftragt ist, verfügte FTX über kein eigenes Cybersicherheitspersonal. Keiner. Tatsächlich zeigt die Einreichung vom Montag, dass sich das Unternehmen nie die Mühe gemacht hat, einen einzustellen CISO (ein Chief Information Security Officer), um seine Risiken für sie zu verwalten. Stattdessen verließen sie sich auf zwei der Softwareentwickler des Unternehmens, die, wie der Bericht feststellt, keine formelle Ausbildung in Sicherheit hatten und deren Jobs sie davon abhielten, der Sicherheit tatsächlich Priorität einzuräumen. In dem Bericht heißt es:
Die FTX Group hatte keinen unabhängigen Chief Information Security Officer, keinen Mitarbeiter mit angemessener Ausbildung oder Erfahrung, der mit der Erfüllung der Verantwortlichkeiten einer solchen Rolle beauftragt war, und keine etablierten Prozesse zur Bewertung von Cyber-Risiken, zur Implementierung von Sicherheitskontrollen oder zur Reaktion auf Cyber-Vorfälle in Echtzeit. ..wie bei kritischen Kontrollen in anderen Bereichen hat die FTX Group Cybersicherheitskontrollen grob herabgesetzt und ignoriert, eine bemerkenswerte Tatsache, wenn man bedenkt, dass das gesamte Geschäft der FTX Group – seine Vermögenswerte, Infrastruktur und geistiges Eigentum – im Wesentlichen aus Computercode und Technologie bestand .
Zugegeben, viele Technologieunternehmen leiden darunter Personalmangel wenn es um Cybersicherheit geht, aber das ist wirklich nur entschuldbar, wenn Sie ein Startup sind und nicht über die Manpower oder das Kapital verfügen, um kompetente Leute einzustellen. In den Tagen vor seiner Implosion war FTX gemeldet bis zu 32 Milliarden Dollar wert sein. Es genügt zu sagen, ich denke, sie hätten einen Typen einstellen können.
FTX So gut wie nie benutzte Kühllagerung, der Industriestandard
Eine weitere wirklich dumme Sache, die FTX getan hat, war, die Krypto-Assets seiner Benutzer nicht im Cold Storage aufzubewahren – eine Standard-Sicherheitspraxis, an die sich die meisten Krypto-Börsen halten.
Im Allgemeinen können Krypto-Assets auf zwei verschiedene Arten gespeichert werden: „heiße Geldbörsen”, bei denen es sich um softwarebasierte Konten handelt, die mit dem Internet verbunden sind; Und “Kühlhaus“, eine hardwarebasierte Offline-Speicherform. Cold Storage gilt als sicher, während „Hot Wallets“ riskanter sind, weil sie – da sie mit dem Internet verbunden sind – dies können (und oft auch tun). gehackt werden.
Die allgemeine Meinung besagt, dass Unternehmen nur so viel Krypto in Hot Wallets aufbewahren, wie nötig ist, um die Konten liquide zu halten, während der Rest der Krypto im Cold Storage aufbewahrt werden sollte. FTX hat das jedoch nicht getan; Stattdessen sagt der Bericht, dass es „praktisch alle“ Vermögenswerte seiner Kunden in Hot Wallets aufbewahrt.
Wusste FTX nicht, dass Cold Storage sicherer ist oder so? Nein, schlimmer als zu dumm zu sein, um angemessene Kontrollen einzuführen, die Führung der Börse scheint sich einfach nicht viel darum gekümmert zu haben.
„Die FTX Group hat zweifellos erkannt, wie eine umsichtige Krypto-Börse funktionieren sollte, denn als sie von Dritten gebeten wurde, das Ausmaß zu beschreiben, in dem sie Cold Storage verwendet, hat sie gelogen“, heißt es in dem Bericht und listet eine Reihe von Beispielen auf, in denen FTX-Führungskräfte – einschließlich SBF – behaupteten, dass sie die Vermögenswerte der Benutzer im Cold Storage aufbewahrten. In einem Fall teilte das Unternehmen den Investoren mit, dass es gemäß den Best Practices der Branche eine kleine Menge Krypto in Hot Wallets aufbewahrt, während der Rest „offline in Air-Gap-verschlüsselten Laptops gespeichert wird, die geografisch verteilt sind“. Doch das war laut Bericht nur Bullshit.
Stattdessen hat, wie der Bericht feststellt, „die FTX Group kaum Gebrauch von Kühlhäusern gemacht“, außer in Japan, „wo [it was] gesetzlich vorgeschrieben, es zu verwenden“.
Private kryptografische Schlüssel wurden unverschlüsselt gelassen
Eine weitere völlig idiotische Sache, die die FTX-Spione taten, war, die sensiblen kryptografischen Schlüssel und Seed-Phrasen der Kunden in Klartextdokumenten zu speichern, die anscheinend für die Mitarbeiter zugänglich waren.
In Kryptographie ist der Schlüssel oder die Startphrase das Passwort, das Sie in die individuelle Brieftasche eines Benutzers bringt. Es genügt zu sagen, dass Industriestandards den Krypto-Austausch dazu zwingen, diese Informationen verschlüsselt und damit vor neugierigen Blicken zu schützen. Nicht so bei FTX – das anscheinend Schlüssel aufbewahrte, die Brieftaschen im Wert von mehreren zehn Millionen Dollar unverschlüsselt im Klartext öffnen konnten, die einfach in AWS herumlagen.
Dem Bericht zufolge war dies Teil eines allgemein unorganisierten Sicherheitsansatzes, bei dem „private Schlüssel und Seed-Phrasen, die von FTX.com, FTX.US und Alameda verwendet wurden, an verschiedenen Orten in der Computerumgebung der FTX Group gespeichert wurden auf unorganisierte Weise, mit einer Vielzahl unsicherer Methoden und ohne einheitliches oder dokumentiertes Verfahren.“
Die FTX-Gang hat die Multi-Faktor-Authentifizierung nicht wirklich verwendet
SBF und seine fröhliche Bande von Hipstern haben es anscheinend auch nicht geschafft, die Verwendung von Multi-Faktor-Authentifizierung (MFA) effektiv durchzusetzen – eine sehr grundlegende Form der Websicherheit, die so ziemlich jeder kennt, der in einem Büro arbeitet. Der kürzlich veröffentlichte Bericht besagt, dass die Führung der Krypto-Börse „nicht einmal die am weitesten akzeptierten Kontrollen in Bezug auf das Identitäts- und Zugriffsmanagement („IAM“) in angemessener Weise implementiert hat“. Dazu gehörte das Versäumnis, MFA sowie Single-Sign-On-Dienste zu verwenden – ebenfalls allgemein als Best Practice der Branche angesehen.
Und sehr viel mehr!
Es gibt viele andere urkomische Juwelen der Sicherheitsfahrlässigkeit, die FTX anscheinend begangen hat, also würde ich vorschlagen, das zu lesen Kompletter Bericht wenn Sie möchten, dass Ihr Kiefer auf den Boden fällt.
