安全等級:中
影響產品:2.0 Beta/RC 版本
影響用戶:2018.3.21 至 2018.6.9 10:30 參與 2.0 公測的用戶
事件概要:匿名用戶通過郵箱重置密碼,獲取了我們 2.0 beta 測試服務器所在的 Amazon AWS 賬號。我們運維人員發現異常後,第一時間進行阻斷,並與第三方安全團隊「慢霧」一起對事件進行分析和評估,評估結果是:這是一次黑客侵入攻擊,由於 imToken 是去中心化錢包,不會有任何安全風險,但黑客有可能拿到了部分 2.0 公測用戶的設備數據。
事件經過
2018.6.9 凌晨 02:11 黑客通過郵箱重置密碼的方式,修改了我們 2.0 國際版測試服務器所在的 Amazon AWS 網站登錄密碼。 6.9 週六上午10點,我們運維同事發現問題後第一時間進行阻斷,公司成立應急小組,並聯合第三方安全團隊「慢霧」進行調查評估。
原因分析
作為錢包服務商,我們的系統一直在遭受各種攻擊,如釣魚、嗅探、CC攻擊、DDOS… 我們也相信,系統在不斷的攻防之下愈加健壯。這是首次黑客入侵事件,被抓住的漏洞是我們的郵箱,一個對外服務的運營郵箱被黑客攻破,黑客利用郵箱重置密碼功能,獲得了最近正在測試的 AWS 網站登錄權限。
事件應急
在發現問題之後,公司組織14人應急小組,推進各項工作
- 阻斷訪問權限,重置了所有服務密碼和權限
- 聯合「慢霧」一起對事件進行分析和評估,確認事故原因和造成危害
- 全體員工風險自查,重置服務權限,配合調查漏洞原因
- 評估數據風險及影響的範圍,準備通告和預警
用戶影響及處理
此次事件未有代幣安全風險,僅有可能洩露部分移動設備數據。
受影響的範圍僅是參與我們 2.0 國際版公測的用戶,設備數量 3.6 萬餘台,關聯的錢包地址數量 7.3 萬,訂閱郵箱數 1 萬。設備ID系匿名信息;錢包地址是區塊鏈的公開信息,這兩者都不會對用戶構成危害。黑客唯一有可能利用的是訂閱郵箱地址。按最壞的結果來推斷,黑客有可能拿到數據後,針對用戶發「釣魚郵件」,我們已經向受影響的用戶發出了防釣魚警告。請謹記,無論向誰(包括 imToken 官方)都不能透露自己的錢包私鑰,只要做到這點,你的代幣就在你的安全掌控之下。
安全之重
我們非常遺憾地向我們的用戶以及關心 imToken 的朋友們告知這一事故的發生。錢包的安全一直是我們最高優先級的工作,從軟件的架構、去中心化的機制、安全教育、測評、風控、內控各個角度,我們在不斷地精進,這是一次非常及時的警鐘,我們會持續改進,為喜愛我們的用戶提供更安全、更好用的產品,讓財產不受侵犯,讓價值自由流動。
根據我們安全合作方的威脅情報反饋,這類攻擊事件疑似地下產業鏈針對區塊鏈生態有針對性的攻擊,我們希望藉此也給各位同行發出一個提醒,注意這類攻擊手段。共同促進區塊鏈生態安全的建設。
關於安全我們在推進的事情
- 和安全團隊的合作:慢霧、Cure53
- 開源: 我們的錢包核心代碼會在德國安全審計團隊 Cure53 第二輪審計之後開源
- Bug Bounty: 我們即將開啟社區的漏洞舉報獎勵計劃
- 風險情報聯盟:和行業合作夥伴共同推進區塊鏈安全風險情報聯盟,第一時間發現風險,告知風險,化解風險。
如有任何此次事件的疑問,歡迎發郵件至 support@token.im
媒體聯絡:bd@token.im
Ben
imToken 創始人兼CEO