NFT

Rapport de sécurité Crypto.com et étapes suivantes

Rapport de sécurité Crypto.com et étapes suivantes
Written by admin
Rapport de sécurité Crypto.com et étapes suivantes

Résumé
Le 17 janvier 2022, Crypto.com a appris qu’un petit nombre d’utilisateurs avaient effectué des retraits non autorisés de crypto-monnaie sur leurs comptes. Crypto.com a rapidement suspendu les retraits de tous les jetons pour lancer une enquête et a travaillé 24 heures sur 24 pour résoudre le problème. Aucun client n’a subi de perte de fonds. Dans la plupart des cas, nous avons empêché le ramassage non autorisé et dans tous les autres cas, les clients ont été entièrement remboursés.

L’incident a touché 483 utilisateurs de Crypto.com.

Les retraits non autorisés se sont élevés à 4 836,26 ETH, 443,93 BTC et environ 66 200 USD dans d’autres devises.

Que s’est-il passé?
Le lundi 17 janvier 2022 vers 00h46 UTC, les systèmes de surveillance des risques de Crypto.com ont détecté une activité non autorisée sur un nombre limité de comptes d’utilisateurs où les transactions ont été approuvées sans que l’utilisateur n’ait entré le contrôle d’authentification 2FA. Cela a déclenché une réponse immédiate de plusieurs équipes pour évaluer l’impact. Tous les retraits sur la plateforme ont été suspendus pendant toute la durée de l’enquête. Tous les comptes concernés ont été entièrement restaurés. Crypto.com a révoqué les jetons 2FA de tous les clients et ajouté des mesures de sécurité supplémentaires, qui obligeaient tous les clients à se reconnecter et à configurer leur jeton 2FA pour s’assurer que seules les activités autorisées se produisaient. Le temps d’arrêt de l’infrastructure de ramassage a été d’environ 14 heures et les ramassages ont repris à 17 h 46 UTC le 18 janvier 2022.

Qu’est-ce que Crypto.com a fait pour corriger le problème ?
Avec beaucoup de prudence, nous avons rénové et migré vers une toute nouvelle infrastructure 2FA.

Les jetons 2FA pour tous les utilisateurs du monde entier ont ensuite été révoqués pour garantir la mise en place de la nouvelle infrastructure. Nous avons des politiques 2FA obligatoires sur le frontend et le backend pour protéger les utilisateurs pendant cette phase de retrait, car les sorties telles que les retraits nécessitent la configuration et l’utilisation de 2FA pour se retirer.

Crypto.com a introduit une couche de sécurité supplémentaire le 18 janvier 2022 pour ajouter un délai obligatoire de 24 heures entre l’enregistrement d’une nouvelle adresse de retrait sur liste blanche et le premier retrait. Les utilisateurs recevront des notifications indiquant que des adresses de retrait ont été ajoutées, afin de leur donner suffisamment de temps pour réagir et répondre. Le message de notification fournit des rappels utiles et des instructions sur la façon de contacter notre équipe si la liste blanche d’adresses n’a pas été autorisée.

L’audit complet de l’ensemble de l’infrastructure a été réalisé en interne avec un certain nombre d’améliorations mises en œuvre pour renforcer davantage la posture de sécurité. Bien que Crypto.com effectue déjà des tests de pénétration internes et externes, Crypto.com s’est immédiatement engagé avec des sociétés de sécurité tierces pour effectuer des contrôles de sécurité supplémentaires sur notre plate-forme, ainsi que pour lancer des services de renseignement sur les menaces supplémentaires.

Crypto.com publiera des fonctionnalités de sécurité supplémentaires pour les utilisateurs finaux à mesure que nous passerons de l’authentification à 2 facteurs à la véritable authentification multifacteur (MFA), ce qui renforcera notre base d’utilisateurs mondiale.

Prochaines étapes?
Crypto.com présente le programme mondial de protection des comptes (WAPP). WAPP offre une protection et une sécurité supplémentaires pour les fonds des utilisateurs détenus dans l’application Crypto.com et l’échange Crypto.com.

WAPP est conçu pour protéger les fonds des utilisateurs dans les cas où un tiers obtient un accès non autorisé à leur compte et retire des fonds sans l’autorisation de l’utilisateur. WAPP restaure les fonds jusqu’à 250 000 USD pour les utilisateurs qualifiés ; Thermes et conditions d’application.

« La sécurité des fonds de nos clients est notre priorité absolue et nous améliorons continuellement en profondeur nos mesures de sécurité et de protection de la défense », a déclaré Kris Marszalek, co-fondateur et PDG de Crypto.com. « Alors que l’on nous rappelle l’existence de fraudeurs malveillants, ce nouveau programme mondial de protection des comptes, associé à notre nouvelle infrastructure MFA, offre à nos utilisateurs une protection sans précédent de leurs fonds et, espérons-le, une tranquillité d’esprit. » .

Pour bénéficier du programme WAPP, les utilisateurs doivent :

  1. Activer l’authentification multifacteur (MFA) sur tous les types de transaction où l’authentification multifacteur est actuellement disponible,
  2. Mettre en place un code anti-hameçonnage au moins 21 jours avant la transaction non autorisée signalée,
  3. N’utilisez pas d’appareils jailbreakés,
  4. Déposez un rapport de police et fournissez-en une copie à Crypto.com ; Et
  5. Remplir un questionnaire pour appuyer une enquête médico-légale.

« Crypto.com est un leader en matière de sécurité et de conformité, y compris notre récent Annonce SOC 2 », a déclaré Jason Lau, responsable de la sécurité de l’information chez Crypto.com. « Bien que notre objectif soit de prévenir toute atteinte à la sécurité, notre police d’assurance et nos programmes de protection de compte à la pointe de l’industrie dans le monde offrent à nos clients une protection supplémentaire dans les rares cas où un accident se produirait. »

Les termes et conditions peuvent varier selon le marché en fonction des réglementations locales. Crypto.com prendra la décision finale sur les critères d’éligibilité et l’approbation des candidatures. Le WAPP commencera à se déployer sur certains marchés à partir du 1er février 2022.

About the author

admin

Leave a Comment