NiceHash стал жертвой хакеров: пять советов криптоэнтузиастам
Криптосервис NiceHash стал жертвой хакеров: преступникам удалось вывести более 60 млн долларов. Пока биткоин ставит рекорд за рекордом и берет новую планку в $15 тыс., даже самые продвинутые проекты демонстрируют удивительные уязвимости.
NiceHash – онлайн-рынок для майнинга крипто-валют, объединяющий продавцов мощностей для майнинга (майнеров) с покупателями мощностей для майнинга, один из самых популярных в Интернете.
Согласно официальному пресс-релизу, на сайте произошел сбой безопасности, пользователям проекта рекомендовано изменить онлайн-пароли. Представители проекта признали, что платежная система оказалась скомпрометирована, а содержимое кошелька NiceHash Bitcoin украдено. Руководители проекта инициировали внутреннее расследование и обратились к правоохранительным органам.
Хакеры не раз взламывали биткоин-кошельки, используя недостатки в системе безопасности. Подобный инцидент обернулся банкротством японской биткоин-биржи MtGox. В феврале 2014 года бывший CEO биржи Марк Карпелес заявил о хакерской атаке и краже биткоинов (правда, согласно другому расследованию, биткоины пропали задолго до краха биржи).
И это не первая тревожная новость, последовавшая на этой неделе. Ранее специалисты компании High-Tech Bridge, проанализировав наиболее популярные в Google Play Store криптокошельки, пришли к выводу, что свыше 90% популярных криптокошельков подвержены уязвимостям того или иного рода.
Эксперты изучили как приложения с числом установок до 100 тыс., так и те, количество инсталляций которых превышает 500 тыс. Как оказалось, 93% программ с числом установок до 100 тыс. содержат по меньшей мере 3 уязвимости среднего уровня опасности, в 90% приложений из данной категории было обнаружено по меньшей мере 2 опасные проблемы. Также выяснилось, что 87% кошельков уязвимы к атакам «человек посередине», позволяющей перехват информации, 66% приложений содержат вшитые конфиденциальные данные (в том числе пароли и ключи API), 57% приложений используют функционал, подвергающий риску конфиденциальность пользователя, 80% приложений отправляют данные в незашифрованном виде по HTTP, 30% применяют ненадежное либо неэффективное шифрование, 77% приложений используют SSLv3 или TLS 1.0, бэкенды (API или web-сервисы) 44% приложений оказались уязвимы к атаке Poodle. 100% приложений не имеют защиты против реверс-инжиниринга.
С чем связаны подобные показатели? Разработчики приложений на первый план ставят usability и дизайнерские решения, не уделяя должного внимания безопасности. Я же, в свою очередь, считаю, что надежность и безопасность должны стоять на первом месте, поэтому мое персональное устройство Diamond Guard объединяет в одном решении носитель ключевой информации для безопасной работы с криптовалютами и майнинга, сейф для криптовалют с анонимным доступом и децентрализованный VPN-построитель.
Однако не все так внимательно заботятся о сохранности цифровых активов. Возникает закономерный вопрос: как же обезопасить себя и не стать жертвой ненадежного сервиса или приложения? Возьмите на вооружение несколько простых правил, которые помогут минимизировать риск стать жертвой хакеров.
1. Не торопитесь и всегда внимательно оценивайте интернет-ресурсы, которыми пользуетесь в работе с криптовалютой – будь то сайт проекта ICO, биржа или обменный пункт. Следите за отзывами о ресурсах, которые посещаете регулярно. Это позволит не только уйти от тривиальных фишинговых схем, но и обезопасить себя в случае обнаружения уязвимостей в самих сайтах.
2. Используйте проверенные системы безопасности: проверенные антивирусы, персональный межсетевой экран, качественный VPN-построитель. Не забывайте, что под видом бесплатных антивирусов зачастую скрывается вредоносное ПО, цель которого – получить полный контроль над вашим компьютером и узнать все персональные данные, которые можно использовать для хищения средств.
3. Храните деньги в криптокошельках! Если вы обладаете значительными суммами, никогда не храните все яйца в одной корзине – распределите по нескольким устройствам.
4. Пользуйтесь холодными аппаратными кошельками. Никогда не подключайте их к незнакомым компьютерам.
5. Что касается корпоративной безопасности крупных компаний, то тут все вопросы к службе информационной безопасности: от квалификации и опыта сотрудников зависит, насколько внимательно они следят за уязвимостями в самой компании и как оперативно реагируют на таргетированные атаки.