Nuevo informe de bancarrota muestra que FTX se ha absorbido en ciberseguridad

Nuevo informe de bancarrota muestra que FTX se ha absorbido en ciberseguridad

Foto del artículo titulado FTX & # 39;  s La ciberseguridad era muy mala

imagen: joe acertijo (imágenes falsas)

FTX, y amado una vez Parece que el intercambio de criptomonedas que se derrumbó en una bola de llamas financieras maliciosas en noviembre pasado no hizo muchas tonterías sobre la protección de los activos digitales de sus clientes..

En realidad, la empresa Último informe de quiebra Él revela que, además de administrar sus finanzas como un cruce entre un mono Jim-Beam imprudente y un emperador romano corrupto, el intercambio de criptomonedas en desgracia también parece haber sido una de las peores prácticas de ciberseguridad imaginables.

Sí, esta empresa solo estaba pidiendo que la piratearan. Oh, sí, lo hizo.

En noviembre pasado, menos de 24 horas después de que la compañía se declarara en bancarrota del Capítulo 11, y poco después de que su ex líder, Sam Bankman-Fried (o SBF), renunciara como director ejecutivo, la compañía sufrió una gran crisis. robo digital En el que NA robó $ 432 millones en activos, un alijo de efectivo digital cuyo destino aún se desconoce, al igual que Mucho más De los fondos de los clientes de FTX.

En ese momento, el incidente de piratería parecía más una mala noticia que un helado ya épico, pero ahora tenemos un poco más de contexto para el episodio. De hecho, el informe del lunes, que analiza ampliamente el fracaso total de la empresa para crear completamente una protección digital básica, es una obra maestra cómica que hará que te preguntes cómo la empresa no fue pirateada antes.

FTX Group no ha implementado controles de seguridad básicos y ampliamente aceptados para proteger los criptoactivos. Cada falla crítica se produjo en el contexto de un negocio encargado de las transacciones de los clientes”, dice el informe. Aquí hay algunos consejos para estas fallas.

FTX no contaba con personal de seguridad

A pesar de ser una empresa encargada de proteger decenas de miles de millones de dólares en criptoactivos, FTX no contaba con un personal dedicado a la ciberseguridad. nadie. De hecho, la empresa nunca se molestó en contratar a A.J. CISO (Chief Information Security Officer) para gestionar los riesgos de la empresa por ellos. En su lugar, confiaron en dos de los desarrolladores de software de la empresa quienes, según señala el informe, no tienen capacitación formal en seguridad y cuyos trabajos los ponen en desacuerdo con la priorización de la seguridad. El informe decía:

El Grupo FTX no contaba con un Jefe de Seguridad de la Información independiente, ningún empleado con la capacitación o la experiencia adecuadas asignados para cumplir con las responsabilidades de esta función, y ningún proceso bien establecido para evaluar los riesgos cibernéticos, implementar controles de seguridad o responder a incidentes cibernéticos en tiempo real. …al igual que con los controles críticos en otras áreas, FTX Group ha quitado prioridad e ignorado los controles de seguridad cibernética, un hecho notable dado que todo el negocio de FTX Group (sus activos, infraestructura y propiedad intelectual) se compone de tecnología y código informático.

Claro, muchas empresas de tecnología están luchando falta de personal Cuando se trata de seguridad cibernética, esto solo es justificable si eres un unicornio o una startup y no tienes la mano de obra o el capital para contratar personas competentes. En los días previos a su implosión, también lo fue FTX mencionado por valor de $32 mil millones. Basta con decir que creo que podrían haber contratado a un tipo.

FTX nunca ha usado mucho el almacenamiento en frío

La otra cosa realmente estúpida que ha hecho FTX es no mantener los activos criptográficos de sus usuarios en almacenamiento en frío, una práctica de seguridad estándar que la mayoría de los intercambios de criptomonedas afirman cumplir.

En general, los criptoactivos se pueden almacenar de dos formas distintas:carteras calientes“que son cuentas basadas en software conectadas a Internet; y”almacenamiento en frio“, y es una forma de almacenamiento fuera de línea basado en hardware. El almacenamiento en frío es seguro, mientras que las “billeteras activas” son más riesgosas porque, al estar relacionadas con la web, pueden (y a menudo lo hacen) ser hackeado.

La sabiduría común sugiere que las empresas mantengan tantas criptomonedas en monederos calientes como sea necesario para mantener las cuentas líquidas, mientras que el resto de las criptomonedas deben mantenerse en almacenamiento en frío. Sin embargo, FTX no hizo esto; En cambio, dice el informe, mantuvo “casi todos” los activos de sus clientes en billeteras calientes.

¿No sabía FTX que el almacenamiento en frío era más seguro o algo así? No, peor que ser demasiado tonto para implementar los controles adecuados, a los líderes del intercambio no parecía importarles mucho.

“El Grupo FTX, sin duda, entendió cuán prudente debe operar un intercambio de criptomonedas prudente, porque cuando los terceros les pidieron que describieran el alcance de su uso del almacenamiento en frío, mintieron”, dice el informe, que enumera una serie de ejemplos en los que los ejecutivos de FTX: incluido SBF: afirmó haber mantenido los activos de los usuarios en almacenamiento en frío. En un caso, la empresa les dijo a los inversionistas que, de acuerdo con las mejores prácticas de la industria, tenía una pequeña cantidad de criptomonedas en billeteras activas, mientras que el resto se almacenaba fuera de línea en computadoras portátiles criptográficas, que están distribuidas geográficamente. Pero esto era, según el informe, una tontería.

En cambio, como señala el informe, “el grupo FTX usó poco almacenamiento en frío” excepto en Japón, “donde [it was] requerido por las regulaciones para usarlo.”

Las claves privadas se dejan sin cifrar

Otra cosa completamente estúpida que hicieron los censores de FTX fue mantener las claves de cifrado confidenciales de los clientes y las frases sin procesar almacenadas en documentos de texto simples que aparentemente eran accesibles para los empleados.

En criptografía, la clave inicial o frase es la contraseña que lo lleva dentro de la billetera del usuario individual. Baste decir que los estándares de la industria obligan a los intercambios de criptomonedas a mantener esa información encriptada y, por lo tanto, a salvo de miradas indiscretas. No es así con FTX, que aparentemente tenía claves que pueden desbloquear decenas de millones de dólares en billeteras sin cifrar, de texto sin formato, ubicadas en AWS.

Según el informe, esto era parte integral de un enfoque de seguridad generalmente desorganizado, en el que “las claves privadas y las frases iniciales utilizadas por FTX.com, FTX.US y Alameda se almacenaban en varios lugares del entorno informático de FTX Group en un entorno desorganizado”. manera.” utilizando una variedad de métodos inseguros y sin ningún procedimiento estandarizado o documentado.

FTX realmente no usó MFA

Parece que SBF y su alegre grupo de hípsteres “no lograron hacer cumplir de manera efectiva el uso” de la autenticación multifactor, una forma muy básica de seguridad web con la que casi todos los que trabajan en una oficina están familiarizados. El informe publicado recientemente señala que el liderazgo del intercambio de criptomonedas “no pudo implementar adecuadamente ni siquiera los controles de gestión de acceso e identidad (“IAM”) más ampliamente aceptados. Esto incluyó no usar MFA ni servicios de inicio de sesión mono, que también se considera ampliamente una mejor práctica de la industria.

¡Y mucho, mucho más!

Baste decir que hay muchas otras gemas divertidas de negligencia de seguridad que FTX parece haber cometido, por lo que sugiero leer Reporte completo Si quieres que tu mandíbula caiga al suelo.

Leave a Reply

Your email address will not be published. Required fields are marked *