هک کیف پول‌های سخت‌افزاری لجر و ترزور رد شد

نمایندگان ترزور، لجر و تعدادی دیگر از شرکت‌های مرتبط، در پاسخ به ادعای ضعف امنیتی محصولات‌شان، اعلام کردند که این اشکالات امنیتی سال‌ها پیش رفع شده‌اند و در حال حاضر مشکل امنیتی در ارتباط با آنها وجود ندارد.

به نقل از کوین تلگراف و به گزارش «آندر د بریچ» (Under The Breach)، روز ۲۴ می (۴ خرداد) یک هکر موفق شده بود تا با دور زدن پروتکل‌های حریم خصوصیِ شرکت‌هایی نظیر ترزور، لجر و «Bnktothefuture»، به داده‌های کاربران دسترسی پیدا کند. آدرس ایمیل، آدرس منزل و شماره تلفن‌ها، از جمله این اطلاعات بوده‌اند.

آندر د بریچ ادعا می‌کند که این هکر به سه پایگاه داده بزرگ که شامل اطلاعات بیش از ۸۰,۰۰۰ مشتری این شرکت‌هاست، دسترسی پیدا کرده است. طبق شایعات، گفته می‌شود که وجود یک باگ در سیستم شاپیفای (Shopify)، باعث شده است تا هکر بتواند این اطلاعات را در اختیار بگیرد. شاپیفای یک پلتفرم تجارت الکترونیک است که به تعدادی از شرکت‌های بزرگ در حوزه ارزهای دیجیتال خدمات ارائه می‌کند.

اطلاعات تازه نشان می‌دهد که رخنه امنیتی به این شرکت‌ها، اشتباه بوده است. از زمان انتشار این خبر تا به اینجا، شرکت‌هایی که گفته می‌شود درگیر این حملات بوده‌اند، اعلام کرده‌اند که ادعای آندر د بریچ سندیت ندارد و شواهدی برای اثبات آنها در دست نیست. سخنگوی شاپیفای در این باره گفت:

این ادعاها را بررسی کردیم تا اثبات‌شان کنیم، هیچ مدرکی دال بر نفوذ [بیگانه] به سیستم شاپیفای یافت نشد.

در اقدامی مشابه، اعضای تیم امنیتی لجر نیز به دنبال کاهش واهمه مشتریان‌شان از در خطر قرار داشتنِ سرمایه‌ها، تحقیقاتی را ترتیب دادند. این شرکت با انتشار یک پست جامع در وبلاگ خود، اعلام کرد که شایعات پیرامون افشای اطلاعات کاربران از فروشگاه اینترنتی لجر، صحت نداشته است. در بخش دیگری از این پست آمده است که تیم امنیتی لجر، نمونه داده‌ها را بررسی و پس از آن تایید کرده است که این داده‌ها با داده‌های کلاینت این شرکت همخوانی ندارد.

در پایان، لجر با اشاره به ادعای خبرگزاری‌ها مبنی بر دسترسی هکرها به پایگاه ‌داده کلاینت این شرکت در سال ۲۰۱۶ و به واسطه اشکال امنیتی شاپیفای، اعلام کرد که شاپیفای در حال حاضر به‌عنوان یک ارائه‌دهنده خدمات و به صورت شخص ثالث با این شرکت همکاری دارد و مشکل سال ۲۰۱۶ ارتباطی با آنها ندارد.

متیو ریو (Matthieu Riou)، مدیر بخش فنی پلتفرم بلاک سایفر (BlockCypher) که به این شرکت‌ها خدمات ابری ارائه می‌کند، در مصاحبه‌ای اعلام کرد که تیم تحلیل این پلتفرم، اتفاقات پیش آمده را تحلیل کرده و به این نتیجه رسیده است که اطلاعات افشا‌شده به سالیان قبل برمی‌گردد و حالا بار دیگر بر سر زبان‌ها افتاده است. او در بخش دیگری از صحبت‌هایش گفت:

مثلا تعداد کاربرانی که هکرها از آنها یاد کرده‌اند (۲,۳۵۸) خود بیانگر این مسئله است. نکته مثبت قضیه اینجاست که در حال حاضر کاربران ما بسیار بیشتر از این رقم است. این رقم، همان مقداری است که در افشای اطلاعاتِ مارس ۲۰۱۶ (اسفند ۹۴) و در سیستم قبلی با آن روبه‌رو شدیم.

ریو در ادامه صحبت‌هایش گفت که پس از اتفاقات سال ۲۰۱۶، توسعه‌دهندگان این شرکت، تمام رابط برنامه‌نویسیِ مدیریت توکن‌ها را از ابتدا تا انتها بازنویسی کرده‌اند. به همین دلیل نیز کاربران مجبور شدند تا به پلتفرم جدید رفته و بار دیگر با نام کاربری و رمز عبور تازه ثبت نام کنند. او در ادامه افزود:

چند سالی می‌شود که در سیستمی بهبودیافته فعالیت می‌کنیم و هیچ مشکلی هم نداشتیم. نمی‌توانیم در ارتباط با اطلاعاتی که از شرکت‌های دیگر می‌آیند و ویژگی‌های آنها صحبت کنیم.

پیتر ویکارلی (Peter Vecchiarelli)، مدیر عملیاتی اوگر (Augur)، پلتفرمی که هکرها ادعا می‌کنند با نفوذ به این پلتفرم اطلاعات مشتریانش را به سرقت برده‌اند نیز این اظهارات را رد کرده است. به گفته او، این اطلاعات مربوط به سال ۲۰۱۶ است و هکرها در آن زمان به این اطلاعات دسترسی پیدا کرده‌اند. او در این باره افزود که تیم امنیتی این پلتفرم با بررسی صحت اطلاعات، به این نتیجه رسیده‌اند که اسامی این فهرست، با ایمیل‌های خصوصیِ بازاریابی و سرمایه‌گذاری جمعی اوگر همخوانی ندارد. او همچنین اعلام کرد که این فهرست از طریق افرادی به‌دست آمده است که ایمیل خود را در کانال اسلک (Slack)، به صورت عمومی در اختیار دیگران قرار داشتند. این کانال توسط این شرکت اداره می‌شده است.

مارک پالاتینوس (Marek Palatinus)، مدیرعامل ساتوشی لبز (Satoshi Labs) که مسئول ساخت چندین کیف پول سخت‌افزاری برای ترزور بوده است، در مصاحبه‌ای اعلام کرد که مردم باید بدانند که صحبت‌ها در ارتباط با درز اطلاعات منطقی نیست و اطلاعات ساختگی در میان آنها به وفور یافت می‌شود. او همچنین افزود که فروشگاه اینترنتی ترزور از شاپیفای استفاده نمی‌کند و این شرکت از پروتکل‌هایی بهره می‌برد که افشای هویت افراد در آن مشکل است. او در ادامه گفت:

حتی اگر داده‌ها از طریق دست اندرکاران فروشگاه اینترنتی لو رفته باشند، کلیدهای کیف پول‌ها در اختیار کسی قرار نگرفته است. از همین رو اگر هکر یا هر فرد دیگری به کیف پول دسترسی داشته باشد، نمی‌تواند به کلیدهای خصوصی که در داخل کیف پول سخت‌افزاری قرار دارد، دسترسی داشته باشد. ترزور هیچ اطلاعاتی از کیف پول‌های سخت‌افزاری یا نرم‌افزار ترزور والت (Trezoe Wallet) را ذخیره نمی‌کند.

جنبه دیگری از این ماجرا، به صرافی‌های ارزهای دیجیتال برمی‌گردد. هکرها ادعا کرده‌اند که از میان اطلاعاتی که در اختیار دارند، اطلاعات مشتریان برخی از صرافی‌های مشهور نظیر کوینیجی (Coinigy)، بیتسو (BitSo) و پلاتوس نیز وجود دارد.

ویلیام کل (William Kehl)، از بنیان‌گذاران کوینیجی، در مصاحبه‌ای اعلام کرد که در سال ۲۰۱۶ و پس از لو رفتن حساب استرایپ (Stripe) یکی از شرکای آنها، هکرها توانستند تا به اطلاعات بیش از ۵۰۰ مشتری دست پیدا کنند. به گفته او اطلاعاتی نظیر چهار رقم آخر کارت بانکی، اسامی، آدرس‌ محل زندگی و آدرس ایمیل آنها در اختیار هکرها قرار گرفته بود. این در حالی است که کل عنوان می‌کند هیچ یک از پایگاه‌های داده داخلی آنها با مشکل مواجه نشده بود. او در ادامه افزود:

بلافاصله پس از این اتفاق، از آن آگاه شدیم و به سرعت ضمن مسدود کردن این حساب‌ها، کل پلتفرم را از دسترس خارج کردیم. از تمام کاربران خواستیم تا اطلاعات امنیتی خود را بازبینی کنند. به‌روزرسانی کلمه عبور و کلیدهای API جدید از جمله این اقدامات بود. پس از آن، پلتفرم را بار دیگر راه‌اندازی کردیم. اطلاعاتی که در اختیار هکرها قرار دارد، از طریق پایگاه‌ داده ما به دست نیامده است، بلکه از طریق دسترسی چند دقیقه‌ای به برخی از خدمات شخص ثالثی که استفاده می‌کردیم، بوده است.

سخنگوی صرافی مکزیکی بیتسو نیز در مصاحبه‌ای اعلام کرد که تیم امنیتی این صرافی با بررسی اطلاعات، به این نتیجه رسیده‌اند که شرایط عادی است. او در ادامه افزود:

پروتکل‌هایی از پیش تعیین‌شده را برای این شرایط فعال کردیم و به کاربران نیز در این خصوص اطلاع خواهیم داد. فعلا، هیچ مدرکی دال بر اینکه شخصی ثالث به اطلاعات حساب‌های مشتریان دسترسی پیدا کرده باشد، وجود ندارد.

دیوید موریسون (David Morrison)، مدیر جامعه پلاتوس، نیز ضمن اعلام این مسئله که تحقیقاتی در رابطه با حملات صورت گرفته است، افزود که تیم امنیتی این شرکت موفق به پیدا کردن شواهدی مبنی بر حملات هکرها نشده‌اند. او در این خصوص اظهار کرد:

تا به اینجا مدرک محکمی مبنی بر موفقیت آمیز بودن هک بدست نیاوردیم. صرف‌نظر از موفقیت آمیز بودن یا نبودن، اقدامات احتیاطی لازم انجام شده است و به خوبی نیز به اطلاع مشتریان‌مان خواهد رسید.

۱۹ می (۳۰ اردیبهشت)، شرکت بلاکفای (BlockFi) اعلام کرد که به واسطه انجام حمله تعویض سیمکارت، اطلاعات مشتریان این شرکت لو رفته است. اسامی کامل، آدرس ایمیل، آدرس فیزیکی و تاریخ تولد از جمله این اطلاعات بود. در موردی مشابه، ایتانا (Etana)، یک شرکت ارائه‌دهنده خدمات کاستودی (نگه‌داری سرمایه) به صرافی‌هایی نظیر کراکن، اعلام کرد که قربانی حملاتی مشابه شده است.

گفته می‌شود که سرمایه‌های کاربران تحت تاثیر این حملات قرار نگرفته است.