FTX ، و الحبيب مرة يبدو أن بورصة العملات المشفرة التي انهارت في كرة من ألسنة اللهب المالية الخبيثة في نوفمبر الماضي ، لم تقدم الكثير من الهراء بشأن حماية الأصول الرقمية لعملائها.
في الواقع ، الشركة أحدث تقرير إفلاس يكشف أنه ، بالإضافة إلى إدارة موارده المالية مثل التقاطع بين قرد متهور من Jim-Beam وإمبراطور روماني فاسد ، يبدو أن تبادل العملات المشفرة المشين كان أيضًا من أسوأ ممارسات الأمن السيبراني التي يمكن تخيلها.
نعم ، كانت هذه الشركة تطلب فقط اختراقها. اي نعم لقد فعل.
في تشرين الثاني (نوفمبر) الماضي ، بعد أقل من 24 ساعة من إعلان الشركة إفلاسها بموجب الفصل 11 ، وبعد وقت قصير من استقالة رئيسها السابق ، سام بانكمان-فرايد (أو SBF) من منصب الرئيس التنفيذي ، عانت الشركة من أزمة كبيرة. السرقة الرقمية حيث سرق بعض المدمنين المجهولين 432 مليون دولار من الأصول ، وهي مجموعة من النقد الرقمي لا يزال مصيرها مجهولاً – تمامًا مثل أكثر بكثير من أموال عملاء FTX.
قد تحصل G / O Media على عمولة
وفر 400 دولار
جهاز MacBook Pro مقاس 2021 مقاس 14 بوصة وسعة 1 تيرابايت
MacBook Pro هو السبيل للذهاب
توفر وحدة المعالجة المركزية التي تصل إلى 10 أنوية أداء أسرع بما يصل إلى 3.7 مرة للتنقل عبر تدفقات العمل الاحترافية بشكل أسرع من أي وقت مضى. وحدة معالجة رسومات تصل إلى 32 نواة مع أداء أسرع حتى 13x للتطبيقات والألعاب التي تتطلب رسومات كثيرة
في ذلك الوقت ، بدا حادث القرصنة وكأنه مجرد أخبار سيئة أكثر من مجرد مثلجات ملحمية بالفعل ، ولكن لدينا الآن سياق أكثر قليلاً للحلقة. في الواقع ، يعد تقرير يوم الاثنين ، الذي يستعرض على نطاق واسع فشل الشركة التام في إنشاء حماية رقمية أساسية تمامًا ، تحفة كوميدية ستجعلك تتساءل كيف لم تتعرض الشركة للاختراق في وقت سابق.
فشلت مجموعة FTX في تنفيذ ضوابط أمان أساسية ومقبولة على نطاق واسع لحماية أصول التشفير. كان كل إخفاق فادحًا في سياق عمل مكلف بمعاملات العملاء “، كما جاء في التقرير. فيما يلي بعض النصائح حول هذه الإخفاقات.
لم يكن لدى FTX طاقم أمن
على الرغم من كونها شركة مكلفة بحماية عشرات المليارات من الدولارات من الأصول المشفرة ، لم يكن لدى FTX طاقم متخصص في الأمن السيبراني. لا أحد. في الواقع ، لم تهتم الشركة أبدًا بتوظيف أ CISO (كبير مسؤولي أمن المعلومات) لإدارة مخاطر الشركة بالنسبة لهم. وبدلاً من ذلك ، اعتمدوا على اثنين من مطوري برمجيات الشركة الذين ، كما يشير التقرير ، لم يتلقوا تدريبًا رسميًا في مجال الأمن والذين تضعهم وظائفهم على خلاف مع إعطاء الأولوية للأمن. وجاء في التقرير:
لم يكن لدى مجموعة FTX رئيس مستقل لأمن المعلومات ، ولا موظف لديه تدريب مناسب أو خبرة مكلف بالوفاء بمسؤوليات هذا الدور ، ولا توجد عمليات راسخة لتقييم المخاطر السيبرانية ، أو تنفيذ ضوابط أمنية ، أو الاستجابة للحوادث السيبرانية في الوقت الفعلي. .. كما هو الحال مع الضوابط الحاسمة في مجالات أخرى ، قامت مجموعة FTX بإلغاء أولويات ضوابط الأمن السيبراني وتجاهلها ، وهي حقيقة ملحوظة بالنظر إلى أن الأعمال الكاملة لمجموعة FTX – أصولها وبنيتها التحتية وملكيتها الفكرية – تتكون من رمز الكمبيوتر والتكنولوجيا .
من المؤكد أن الكثير من شركات التكنولوجيا تعاني من نقص الموظفين عندما يتعلق الأمر بالأمن السيبراني ، فهذا أمر لا يمكن تبريره إلا إذا كنت وحيد القرن أو شركة ناشئة وليس لديك القوة البشرية أو رأس المال لتوظيف أشخاص أكفاء. في الأيام التي سبقت انفجارها الداخلي ، كانت FTX كذلك ذكرت لتصل قيمتها إلى 32 مليار دولار. يكفي القول ، أعتقد أنه كان بإمكانهم توظيف رجل.
لم تستخدم FTX كثيرًا أبدًا التخزين البارد
الشيء الآخر الغبي حقًا الذي فعلته FTX هو الفشل في الاحتفاظ بأصول التشفير لمستخدميها في التخزين البارد – وهي ممارسة أمان قياسية تدعي معظم بورصات العملات المشفرة أنها تلتزم بها.
بشكل عام ، يمكن تخزين أصول التشفير بطريقتين منفصلتين: “محافظ ساخنة، “وهي حسابات قائمة على البرامج متصلة بالإنترنت ؛ و “التخزين البارد، “وهو شكل تخزين قائم على الأجهزة دون اتصال بالإنترنت. يعتبر التخزين البارد آمنًا ، في حين أن “المحافظ الساخنة” تكون أكثر خطورة ، لأنها – كونها مرتبطة بالويب – يمكنها (وغالبًا ما تفعل ذلك) تتعرض للاختراق.
تشير الحكمة الشائعة إلى أن الشركات تحتفظ بنفس القدر من العملات المشفرة في المحافظ الساخنة حسب الضرورة للحفاظ على سائلة الحسابات ، بينما يجب الاحتفاظ ببقية العملات المشفرة في التخزين البارد. ومع ذلك ، فإن FTX لم تفعل ذلك ؛ وبدلاً من ذلك ، يقول التقرير إنه احتفظ بـ “جميع” أصول عملائه تقريبًا في محافظ ساخنة.
ألم تعلم FTX أن التخزين البارد كان أكثر أمانًا أو شيء من هذا القبيل؟ كلا ، أسوأ من كونها غبية جدًا في تنفيذ الضوابط المناسبة ، يبدو أن قيادة البورصة لم تهتم كثيرًا.
“لقد أدركت مجموعة FTX بلا شك كيف يجب أن تعمل بورصة العملات المشفرة الحكيمة ، لأنه عندما سألتها أطراف ثالثة لوصف مدى استخدامها للتخزين البارد ، فإنها كذبت” ، كما ورد في التقرير ، مدرجًا عددًا من الأمثلة التي قام فيها مدراء FTX التنفيذيون – بما في ذلك SBF – ادعى أنهم احتفظوا بأصول المستخدمين في التخزين البارد. في إحدى الحالات ، أخبرت الشركة المستثمرين أنها ، تماشياً مع أفضل الممارسات الصناعية ، احتفظت بكمية صغيرة من العملات المشفرة في المحافظ الساخنة ، بينما تم تخزين الباقي في وضع عدم الاتصال في أجهزة الكمبيوتر المحمولة المشفرة بالهواء ، والتي يتم توزيعها جغرافياً. لكن هذا كان ، وفقًا للتقرير ، مجرد هراء.
بدلاً من ذلك ، كما يشير التقرير ، “استخدمت مجموعة FTX القليل من التخزين البارد” باستثناء اليابان ، “حيث [it was] التي تتطلبها اللوائح لاستخدامها.
تُركت المفاتيح الخاصة بدون تشفير
الشيء الآخر الغبي تمامًا الذي فعله مراقبو FTX هو الاحتفاظ بمفاتيح التشفير الحساسة للعملاء والعبارات الأولية المخزنة في مستندات نصية بسيطة كان من الممكن الوصول إليها على ما يبدو من قبل الموظفين.
في التشفير ، المفتاح أو العبارة الأولية هي كلمة المرور التي تجعلك داخل محفظة المستخدم الفردية. يكفي القول ، إن معايير الصناعة تجبر عمليات تبادل العملات المشفرة على الحفاظ على تلك المعلومات مشفرة ، وبالتالي ، في مأمن من أعين المتطفلين. ليس الأمر كذلك ، مع FTX – التي احتفظت على ما يبدو بمفاتيح يمكنها فتح محافظ بقيمة عشرات الملايين من الدولارات غير مشفرة ، بنص عادي ، موجودة في AWS.
وفقًا للتقرير ، كان هذا جزءًا لا يتجزأ من نهج غير منظم بشكل عام للأمان ، حيث تم تخزين “المفاتيح الخاصة والعبارات الأولية المستخدمة من قبل FTX.com و FTX.US و Alameda في مواقع مختلفة في جميع أنحاء بيئة حوسبة مجموعة FTX في بطريقة غير منظمة ، باستخدام مجموعة متنوعة من الأساليب غير الآمنة وبدون أي إجراءات موحدة أو موثقة “.
لم تستخدم عصابة FTX أسلوب العائالت المتعددة MFA حقًا
يبدو أن SBF وفرقته المرحة من محبو موسيقى الجاز “فشلوا في فرض استخدام” المصادقة متعددة العوامل بشكل فعال – وهو شكل أساسي جدًا من أمان الويب يعرفه إلى حد كبير كل من يعمل في المكتب. يشير التقرير الذي تم إصداره مؤخرًا إلى أن قيادة بورصة العملات المشفرة “فشلت في التنفيذ بطريقة مناسبة حتى أكثر الضوابط المقبولة على نطاق واسع فيما يتعلق بإدارة الهوية والوصول (” IAM “). وشمل ذلك الفشل في استخدام أسلوب العائالت المتعددة MFA بالإضافة إلى خدمات تسجيل الدخول الأحادي – والتي تعتبر أيضًا على نطاق واسع من أفضل الممارسات الصناعية.
والكثير الكثير!
يكفي القول ، هناك الكثير من الجواهر المرحة الأخرى للإهمال الأمني التي يبدو أن FTX قد ارتكبتها ، لذلك أقترح قراءة تقرير كامل إذا كنت تريد أن يسقط فكك على الأرض.
