⚠️ Атака на Kraken: вымогательство вместо сотрудничества

⏺ Недавно криптовалютная биржа Kraken столкнулась с инцидентом, который выходит за рамки обычного обнаружения и исправления уязвимостей. 🔒 Исследователь безопасности сообщил о "чрезвычайно критической" уязвимости 9 июня, но вместо сотрудничества с биржей, он решил извлечь из этого выгоду.

⏺ Директор по безопасности Kraken, Ник Перкоко, рассказал о том, как через несколько минут после получения отчета была обнаружена изолированная ошибка, которая позволяла злоумышленнику создать депозит и получить средства на свой счет без завершения процесса. Хотя никакие активы клиентов не были подвержены риску, злоумышленник мог использовать эту уязвимость для вывода активов из своей учетной записи. 📈

⏺ В течение двух часов после уведомления Kraken, было установлено, что три человека использовали уязвимость для увеличения своего баланса на бирже. Один из них добавил всего 4 доллара, возможно, для тестирования, а другие два совершили вывод почти в 3 миллиона долларов. 💵

⏺ Kraken попросило исследователей предоставить полный отчет об их деятельности и подтвердить концепцию, используемую для создания ончейн-активности, а также вернуть выведенные деньги, однако исследователи отказались.

⏺ Перкоко подчеркнул, что такое поведение исследователей не соответствует духу программ вознаграждения за обнаружение ошибок и должно рассматриваться как вымогательство. 🔈 Он призвал к ответственности тех, кто игнорирует правила и использует свои знания для личной выгоды, подчеркивая важность сотрудничества и честного взаимодействия в области информационной безопасности.

📌 Как думаете, исследователи должны были вернуть украденные средства? Как бы поступили вы?

#новости_инфобеза