К сожалению это заняло немного больше времени, чем я надеялся этот пост. В этих выходных были абсурдными в количестве работы, которую мы должны были сделать, чтобы получить сайт обратно и стабильными. Мы хотели, чтобы этот пост, как вещи приближается к окончательному разрешению.

Что случилось:

В пятницу, 21 марта, кто-то нашел эксплойт на нашем сайте и использовали его, чтобы изменить пароли пользователей, войдите в систему, как они, и вывести свои средства.

То, что было потеряно:

Ведь бухгалтерский учет был сделан только три пользователей потеряли монеты. В общей сложности около 81K BTCS было принято, и 7700000 KARM. Один пользователь был SLR продан за BTC в попытке выйти, но наша безопасность BTC ногами, и заблокированы все снятие денег, так что ничего не было потеряно.

То, что мы сделали не так:

Мы не смогли обеспечить раздел нашего сайта правильно. Хакеры умные. Иногда умнее, чем мы. Они использовали эксплойт, что было возможно, потому что у нас были некоторые ошибки в коде, не правильно проверить ввод перед обработкой, что было отправлено. Это было использовано, чтобы изменить пароли некоторых пользователей.

То, что мы сделали правильно:

Наша BTC безопасности ног, и остановила все изъятия. Это, как мы избежали потерь попытанного 15 BTC в снятии - сайт принял снятие и передал их на вывод демон, который с помощью безопасности мы не собирается объяснять (извини хакер - не внутри информации здесь) не оставила снятие в очереди пока он не может быть одобрен вручную. "BTC вывод вопрос / задержка" уведомление было опубликовано на сайте, чтобы предупредить пользователей о том, что будет задержка в обработке их снятия. Мы сразу исследовались ситуацию, как это было в дальнейшем наше внимание пользователя, который заметил, ожидающие снятия BTCS он не инициирует.

Мы попали в Killswitch, который отключает серверы бумажника и базы данных из сети, и бросает вверх по "Вниз, назад в ближайшее время" стр.

В общей сложности 12 счетов были зарегистрированы в и 4 фактически осуществляется, прежде чем мы вмешались и остановили этот вопрос.

Как только мы могли бы сделать вдох, мы отправили уведомление в нашем блоге и CC: эд его Twitter и Facebook. Обратите внимание, было отправлено в течение 2-х часов нас, зная, что случилось. Позже та ночь, другой, более углубленное уведомление было размещено. Для того, чтобы все знать, и быть откровенным и честным. Что-то мы настаиваем на.

То, что мы делали до сих пор:

В выходные дни, все пользователи, которые потеряли монеты связывались и обуславливало. Мы находимся в процессе попытки восстановления этих монет, и 10 вечера EDT на 3/25/14 мы будем иметь какой-то ответ, как на этот статус.

Мы прочесали код, строка за строкой, в три раза, для других возможных эксплойтов. Проблема, которая позволила взломать в первую очередь была исправлена. Мы не видели никаких других возможных отверстий. Мы также установили чрезвычайно чувствительную систему брандмауэра, следит за веб-сервер. В первом же намеке на ненормальный трафик, клиент-нарушителя запрещен с сайта через несколько средств. Белые хакеры шляпы, которые хотят помочь найти дыры? Не. Вы будете запрещены с очень первым ударом вы делаете, что не соответствует нормальной модели использования AllCrypt.com. Опять же, я не буду говорить, что мы хак доказательство, но теперь мы 10x, как жесткие с безопасностью.

То, что мы планируем сделать в будущем:

Мы создали другие следящие системы и аудит, которые доносили нам несколько раз в течение дня, так что если в случае другого вопроса, мы можем остановить его, прежде чем что-нибудь еще случится. Наша система брандмауэра запретила 7 сканов вчера. Не уверен, что если бы это был оригинальный хакер пытается снова, или просто обычные веб-сканирование, но они не будут получать доступ к сайту.

Мы стремимся к безопасности и прозрачности. Мы хотим, чтобы вы нам доверять, а не из какой-то слепой веры, что мы видели в последнее время для некоторых других бирж, которые прошли потемнели Nary обновление и только туманные обещания, а потому, что вы знаете, что мы будем действовать, быстро. Наша безопасность сильна, и теперь еще сильнее. И мы обязуемся сообщить все, что мы можем, как только мы можем.

В некотором смысле, я рад, этот перерыв произошел в то время как мы были так молоды. Мы бы только были открыты 3 недели, когда это случилось. Это является свидетельством нашей безопасности, что так мало было потеряно, как быстро мы реагировали, и это помогло нам закрыть отверстие мы не знали, был там. Это помогло нам ужесточить существующую безопасность.

Никто не хочет, чтобы взломать - особенно дни после заявлений безопасности, как мы (Заявив "Нет, мы не рубить доказательства" - ааа ирония), но в некотором смысле, я лично благодарен, что потеря была настолько мала, и что мы сильнее, чем мы были раньше!.

О тех потерянных монет:

Как я уже упоминал раньше - что-то в работах, касающихся этих потерянных монет. Я обещал ответ какой-то по 10PM сегодня. Будьте на связи.



Для полной истории, увидеть наш блог на http://www.AllCrypt.com/blog