Найти в Дзене
Информационная безопасность сети интернет
100 подписчиков

Атака на Kraken: вымогательство вместо сотрудничества

1
1 мин
⏺ Недавно криптовалютная биржа Kraken столкнулась с инцидентом, который выходит за рамки обычного обнаружения и исправления уязвимостей. 🔒 Исследователь безопасности сообщил о "чрезвычайно критической" уязвимости 10 апреля, но вместо сотрудничества с биржей, он решил извлечь из этого выгоду. ⏺ Директор по безопасности Kraken, Ник Песков, рассказал о том, как через несколько минут после получения отчета была обнаружена изолированная ошибка, которая позволяла злоумышленнику создать депозит и получить средства на свой счет без завершения процесса. Хотя никакие активы клиентов не были подвержены риску, злоумышленник мог использовать эту уязвимость для вывода активов из своей учетной записи. 📈 ⏺ В течение двух часов после уведомления Kraken, было установлено, что три человека использовали уязвимость для увеличения своего баланса на бирже. Один из них добавил всего 3 доллара, возможно, для тестирования, а другие два совершили вывод почти в 4 миллиона долларов. 💵 ⏺ Kraken попросило иссл

⏺ Недавно криптовалютная биржа Kraken столкнулась с инцидентом, который выходит за рамки обычного обнаружения и исправления уязвимостей. 🔒 Исследователь безопасности сообщил о "чрезвычайно критической" уязвимости 10 апреля, но вместо сотрудничества с биржей, он решил извлечь из этого выгоду.

⏺ Директор по безопасности Kraken, Ник Песков, рассказал о том, как через несколько минут после получения отчета была обнаружена изолированная ошибка, которая позволяла злоумышленнику создать депозит и получить средства на свой счет без завершения процесса. Хотя никакие активы клиентов не были подвержены риску, злоумышленник мог использовать эту уязвимость для вывода активов из своей учетной записи. 📈

⏺ В течение двух часов после уведомления Kraken, было установлено, что три человека использовали уязвимость для увеличения своего баланса на бирже. Один из них добавил всего 3 доллара, возможно, для тестирования, а другие два совершили вывод почти в 4 миллиона долларов. 💵

⏺ Kraken попросило исследователей предоставить полный отчет об их деятельности и подтвердить концепцию, используемую для создания ончейн-активности, а также вернуть выведенные деньги, однако исследователи отказались.

⏺ Перкоко подчеркнул, что такое поведение исследователей не соответствует духу программ вознаграждения за обнаружение ошибок и должно рассматриваться как вымогательство. Он призвал к ответственности тех, кто игнорирует правила и использует свои знания для личной выгоды, подчеркивая важность сотрудничества и честного взаимодействия в области информационной безопасности.

📌 Как думаете, исследователи должны были вернуть украденные средства?