FTX, le une fois aimé échange cryptographique qui s’est effondré financièrement flammes en novembre dernier, semble avoir déployé très peu d’efforts pour protéger les vastes réserves d’actifs numériques de ses clients. Jsa compagnie dernier rapport de faillite révèle qu’en plus de gérer ses finances comme un singe Jim-Beam-swigging, l’échange de crypto en disgrâce aussi avait certaines des pires pratiques de cybersécurité imaginables.
Bien sûr, nous savons que FTX aspirait au cyber depuis au moins novembre dernier lorsque, moins de 24 heures après que la société a déclaré faillite en vertu du chapitre 11 et que son ancien PDG, Sam Bankman-Fried, alias SBF a démissionné, l’entreprise a subi une énorme vol numérique. Le voleur, quel qu’il soit, s’est enfui avec 432 millions de dollars d’actifs, une liasse d’argent numérique qui n’a toujours pas été retrouvée, tout comme beaucoup plus de l’argent des clients FTX.
À l’époque, l’incident de piratage semblait n’être qu’une mauvaise nouvelle en plus d’un sundae de merde déjà épique, mais maintenant nous avons un peu plus de contexte pour l’épisode. Le rapport de lundi, qui passe en revue de manière approfondie les défaut de mettre protections numériques de base en placeest un chef-d’œuvre comique qui vous fera vous demander comment l’entreprise n’a pas été piratée plus tôt.
G/O Media peut toucher une commission
Économisez 400 $
MacBook Pro 14″ 1 To 2021
Les MacBook Pro sont la voie à suivre
Le processeur jusqu’à 10 cœurs offre des performances jusqu’à 3,7 fois plus rapides pour parcourir les flux de travail professionnels plus rapidement que jamais. GPU jusqu’à 32 cœurs avec des performances jusqu’à 13 fois plus rapides pour les applications et les jeux gourmands en ressources graphiques
«Le groupe FTX n’a pas réussi à mettre en œuvre des contrôles de sécurité de base largement acceptés pour protéger les actifs cryptographiques. Chaque échec était flagrant dans le contexte d’une entreprise chargée des transactions avec les clients », a déclaré le dossier. États. Voici quelques-uns des points à retenir de ces échecs.
FTX n’avait pas de personnel de cybersécurité
Bien qu’il s’agisse d’une entreprise chargée de protéger des dizaines de milliards de dollars d’actifs cryptographiques, FTX n’avait pas de personnel dédié à la cybersécurité, selon le dossier de lundi.. Aucun. Ja compagnie n’a jamais pris la peine d’embaucher un RSSI (un responsable de la sécurité de l’information) pour gérer les risques de l’entreprise à leur place. Au lieu de cela, ils se sont appuyés sur deux des développeurs de logiciels de l’entreprise qui, selon le rapport, n’avaient pas reçu de formation formelle en sécurité et dont les emplois les mettent en contradiction avec la priorité donnée à la sécurité. Le rapport indique :
Le groupe FTX n’avait pas de directeur de la sécurité de l’information indépendant, aucun employé ayant une formation ou une expérience appropriée chargé d’assumer les responsabilités d’un tel rôle, et aucun processus établi pour évaluer les cyber-risques, mettre en œuvre des contrôles de sécurité ou répondre aux cyber-incidents en temps réel. ..comme pour les contrôles critiques dans d’autres domaines, le groupe FTX a grossièrement dépriorisé et ignoré les contrôles de cybersécurité, un fait remarquable étant donné que, par essence, l’ensemble de l’activité du groupe FTX – ses actifs, son infrastructure et sa propriété intellectuelle – consistait en code informatique et technologie .
Certes, de nombreuses entreprises technologiques souffrent de pénurie de personnel en matière de cybersécurité, mais ce n’est vraiment excusable que si vous êtes une licorne ou une startup et que vous n’avez pas la main-d’œuvre ou le capital pour embaucher des personnes compétentes. Dans les jours précédant son implosion, FTX était signalé valant jusqu’à 32 milliards de dollars. Qu’il suffise de dire, je pense qu’ils auraient pu embaucher un gars.
FTX presque jamais utilisé de stockage à froid, la norme de l’industrie
Une autre chose vraiment stupide que FTX a faite a été de ne pas conserver les actifs cryptographiques de ses utilisateurs dans un stockage à froid, une pratique de sécurité standard que la plupart des échanges cryptographiques prétendent respecter.
En général, les actifs cryptographiques peuvent être stockés de deux manières distinctes : « portefeuilles chauds», qui sont des comptes basés sur des logiciels connectés à Internet ; et « chambre froide», qui est une forme de stockage hors ligne basée sur le matériel. Le stockage à froid est considéré comme sûr, tandis que les «portefeuilles chauds» sont plus risqués, car, étant liés au Web, ils peuvent (et le font souvent) se faire pirater.
La sagesse commune suggère que les entreprises conservent autant de crypto dans des portefeuilles chauds que nécessaire pour garder les comptes liquides, tandis que le reste de la crypto doit être conservé en chambre froide. Cependant, FTX n’a pas fait cela ; au lieu de cela, le rapport indique qu’il a conservé « pratiquement tous » les actifs de ses clients dans des portefeuilles chauds.
FTX ne savait-il pas que le stockage à froid était plus sécurisé ou quelque chose du genre ? Non, pire que d’être trop stupide pour mettre en place des contrôles appropriés, la direction de l’échange semble n’avoir tout simplement pas donné grand-chose.
« Le groupe FTX a sans aucun doute reconnu comment un échange crypto prudent devrait fonctionner, car lorsqu’on lui a demandé par des tiers de décrire dans quelle mesure il utilisait le stockage à froid, il a menti », indique le rapport, énumérant un certain nombre d’exemples dans lesquels les dirigeants de FTX— y compris SBF – ont affirmé qu’ils gardaient les actifs des utilisateurs en chambre froide. Dans un cas, la société a déclaré aux investisseurs que, conformément aux meilleures pratiques de l’industrie, elle conservait une petite quantité de crypto dans des portefeuilles chauds, tandis que le reste était « stocké hors ligne dans des ordinateurs portables cryptés à espace d’air, qui sont répartis géographiquement ». Mais ce n’était, selon le rapport, que des conneries.
Au lieu de cela, comme le note le rapport, « le groupe FTX a peu utilisé l’entreposage frigorifique » sauf au Japon, « où [it was] requis par règlement pour l’utiliser ».
Cryptographie privée Les clés n’ont pas été chiffrées
Une autre chose totalement idiote que les peeps FTX ont faite est de conserver les clés cryptographiques sensibles des clients et les phrases de départ stockées dans des documents en texte clair qui étaient apparemment accessibles au personnel.
En crypto, la clé ou la phrase de départ est le mot de passe qui vous permet d’accéder au portefeuille individuel d’un utilisateur. Qu’il suffise de dire que les normes de l’industrie obligent les échanges cryptographiques à garder ces informations cryptées et, par conséquent, à l’abri des regards indiscrets. Ce n’est pas le cas avec FTX, qui gardait apparemment des clés pouvant ouvrir des portefeuilles d’une valeur de dizaines de millions de dollars non chiffrés, en texte clair, qui traînaient dans AWS.
Selon le rapport, cela faisait partie intégrante d’une approche généralement désorganisée de la sécurité, dans laquelle «les clés privées et les phrases de départ utilisées par FTX.com, FTX.US et Alameda étaient stockées à divers endroits de l’environnement informatique du groupe FTX dans de manière désorganisée, en utilisant une variété de méthodes non sécurisées et sans aucune procédure uniforme ou documentée.
Le gang FTX n’a pas vraiment utilisé l’authentification multifacteur
SBF et sa joyeuse bande de hipsters semblent également « n’ont pas réussi à faire appliquer efficacement l’utilisation » de l’authentification multifacteur (MFA)– une forme très basique de sécurité Web que pratiquement tous ceux qui travaillent dans un bureau connaissent. Le rapport récemment publié indique que la direction de l’échange crypto « n’a pas réussi à mettre en œuvre de manière appropriée même les contrôles les plus largement acceptés concernant la gestion de l’identité et de l’accès (« IAM ») ». Cela incluait l’échec de l’utilisation de la MFA ainsi que des services d’authentification unique, également largement considérés comme une meilleure pratique de l’industrie.
Et bien plus encore!
Jvoici beaucoup d’autres joyaux hilarants de négligence de sécurité que FTX semble avoir commis, donc je suggérerais de lire le rapport complet si vous voulez que votre mâchoire tombe au sol.
Vous pouvez lire l’article original (en Angais) sur le sitegizmodo.com