VMware: Κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση των κρίσιμων ευπαθειών της
26 Ιουνίου, 2024Ρώσοι hackers στοχεύουν γαλλικές διπλωματικές οντότητες με επιθέσεις phishing
28 Ιουνίου, 2024Η εταιρεία ανταλλαγής κρυπτονομισμάτων Kraken αποκάλυψε ότι ένας ανώνυμος ερευνητής ασφαλείας εκμεταλλεύτηκε μία “εξαιρετικά κρίσιμη” zero-day ευπάθεια στην πλατφόρμα του για να κλέψει $3 εκατομμύρια σε ψηφιακά περιουσιακά στοιχεία και αρνήθηκε να τα επιστρέψει.
Οι λεπτομέρειες του περιστατικού κοινοποιήθηκαν από τον Αρχηγό Ασφάλειας της Kraken, Nick Percoco, στο X (πρώην Twitter), δηλώνοντας ότι έλαβε ειδοποίηση από το πρόγραμμα Bug Bounty για ένα σφάλμα που “επέτρεπε τη τεχνητή αύξηση του υπολοίπου τους στην πλατφόρμα μας” χωρίς να παρέχει άλλες λεπτομέρειες. Μέσα σε λεπτά από τη λήψη της ειδοποίησης, η εταιρεία εντόπισε ένα ζήτημα ασφαλείας που ουσιαστικά επέτρεπε σε έναν επιτιθέμενο να “ξεκινήσει μία κατάθεση στην πλατφόρμα μας και να λάβει χρήματα στο λογαριασμό του χωρίς να ολοκληρώσει πλήρως την κατάθεση.”
Παρόλο που η Kraken επεσήμανε ότι δεν κινδύνεψαν περιουσιακά στοιχεία πελατών λόγω του ζητήματος, θα μπορούσε να επιτρέψει σε έναν hacker να δημιουργήσει τεχνητά περιουσιακά στοιχεία στο λογαριασμό του. Το πρόβλημα επιλύθηκε εντός 47 λεπτών. Η ευπάθεια προέκυψε από μία πρόσφατη αλλαγή στη διεπαφή χρήστη που επιτρέπει στους πελάτες να καταθέτουν χρήματα και να τα χρησιμοποιούν πριν εκκαθαριστούν. Επιπλέον, η έρευνα αποκάλυψε ότι τρεις λογαριασμοί, συμπεριλαμβανομένου ενός που ανήκει στον υποτιθέμενο ερευνητή ασφαλείας, είχαν εκμεταλλευτεί την ευπάθεια μέσα σε λίγες ημέρες και υπεξαίρεσαν $3 εκατομμύρια.
Η Kraken αντιμετωπίζει το συμβάν ως ποινική υπόθεση και συνεργάζεται με τις αρχές επιβολής του νόμου. Η CertiK, εταιρεία ασφάλειας blockchain, παραδέχτηκε ότι βρίσκεται πίσω από την παραβίαση, ισχυριζόμενη ότι ανίχνευσε αρκετά κρίσιμα σφάλματα.