安全等级:中
影响产品:2.0 Beta/RC 版本
影响用户:2018.3.21 至 2018.6.9 10:30 参与 2.0 公测的用户
事件概要:匿名用户通过邮箱重置密码,获取了我们 2.0 beta 测试服务器所在的 Amazon AWS 账号。我们运维人员发现异常后,第一时间进行阻断,并与第三方安全团队「慢雾」一起对事件进行分析和评估,评估结果是:这是一次黑客侵入攻击,由于 imToken 是去中心化钱包,不会有任何安全风险,但黑客有可能拿到了部分 2.0 公测用户的设备数据。
事件经过
2018.6.9 凌晨 02:11 黑客通过邮箱重置密码的方式,修改了我们 2.0 国际版测试服务器所在的 Amazon AWS 网站登录密码。6.9 周六上午10点,我们运维同事发现问题后第一时间进行阻断,公司成立应急小组,并联合第三方安全团队「慢雾」进行调查评估。
原因分析
作为钱包服务商,我们的系统一直在遭受各种攻击,如钓鱼、嗅探、CC攻击、DDOS… 我们也相信,系统在不断的攻防之下愈加健壮。这是首次黑客入侵事件,被抓住的漏洞是我们的邮箱,一个对外服务的运营邮箱被黑客攻破,黑客利用邮箱重置密码功能,获得了最近正在测试的 AWS 网站登录权限。
事件应急
在发现问题之后,公司组织14人应急小组,推进各项工作
- 阻断访问权限,重置了所有服务密码和权限
- 联合「慢雾」一起对事件进行分析和评估,确认事故原因和造成危害
- 全体员工风险自查,重置服务权限,配合调查漏洞原因
- 评估数据风险及影响的范围,准备通告和预警
用户影响及处理
此次事件未有代币安全风险,仅有可能泄露部分移动设备数据。
受影响的范围仅是参与我们 2.0 国际版公测的用户,设备数量 3.6 万余台,关联的钱包地址数量 7.3 万,订阅邮箱数 1 万。设备ID系匿名信息;钱包地址是区块链的公开信息,这两者都不会对用户构成危害。黑客唯一有可能利用的是订阅邮箱地址。按最坏的结果来推断,黑客有可能拿到数据后,针对用户发「钓鱼邮件」,我们已经向受影响的用户发出了防钓鱼警告。请谨记,无论向谁(包括 imToken 官方)都不能透露自己的钱包私钥,只要做到这点,你的代币就在你的安全掌控之下。
安全之重
我们非常遗憾地向我们的用户以及关心 imToken 的朋友们告知这一事故的发生。钱包的安全一直是我们最高优先级的工作,从软件的架构、去中心化的机制、安全教育、测评、风控、内控各个角度,我们在不断地精进,这是一次非常及时的警钟,我们会持续改进,为喜爱我们的用户提供更安全、更好用的产品,让财产不受侵犯,让价值自由流动。
根据我们安全合作方的威胁情报反馈,这类攻击事件疑似地下产业链针对区块链生态有针对性的攻击,我们希望借此也给各位同行发出一个提醒,注意这类攻击手段。共同促进区块链生态安全的建设。
关于安全我们在推进的事情
- 和安全团队的合作:慢雾、Cure53
- 开源: 我们的钱包核心代码会在德国安全审计团队 Cure53 第二轮审计之后开源
- Bug Bounty: 我们即将开启社区的漏洞举报奖励计划
- 风险情报联盟:和行业合作伙伴共同推进区块链安全风险情报联盟,第一时间发现风险,告知风险,化解风险。
如有任何此次事件的疑问,欢迎发邮件至 support@token.im
媒体联络:bd@token.im
Ben
imToken 创始人兼CEO