2019年11月2日更新
注意: このページの尻の方で、ビットメックス からの「パスワード変更要求メール」が本物なのかどうかを検証してるたぬ。
環自身は本文中のように対応したぬきだけど、各自自己責任で対応してくれたぬ。
アドレス流出の概要
日本時間11月1日の夕方ごろ、Bitmexからユーザーへ「[重要]BitMEXは11月22日にすべての製品のインデックスを更新します」というタイトルのメールが一斉送信されたぬき。
普通そういう一斉送信のメールって、送信先アドレスを「BCC」に入れて、受信者には誰宛に送ってるかわからないようにしているたぬ。
けれどもこのメール、アドレスを「TO」に入れてしまっていて、受信者はそのとき一斉送信された先のアドレスを全部見れるようになってしまっていたぬき。
つまりイージーミスでメアドが大量流出したわけたぬ。
なんちゅ〜ことしてくれとんネン。
公式の声明
以下、引用文中の強調や色付けは引用者によるたぬ。ハイパーリンクはそのまま引用してるたぬ。
Bitmex 公式ブログ https://blog.bitmex.com/ja-jp-updated-statement-on-the-email-privacy-issue-impacting-our-users/
こちらはソフトウェアエラーの結果であり、現在は解決されています。
BitMEXはユーザーのプライバシーとセキュリティを深く考慮しております。今回は、メールアドレス以外の個人情報やアカウント情報は一切公開されておらず、それ以上のメールも送信されていませんのでご安心ください。この原因となったエラーは特定され、修正されており、通常の高いプライバシー基準が守られています。
とりあえず流出したのはアドレスだけみたいたぬ。
とはいえアドレスが流出したら不正ログインなどが懸念されるわけたぬ。
公式では以下のように対応してくれと言ってるたぬ。
- フィッシングに注意してください。BitMEXからのメールは「support@bitmex.com」と「noreply@bitmex.com」から送信されます。これらの電子メールが迷惑メールフォルダに入らないように、これらの電子メールアドレスを連絡先リストに追加してください。BitMEXがユーザー様にパスワードを求めることはありません。
- BitMEXはお客様に送金を要求することはありません。BitMEXアカウントに資金を入金する唯一の方法は、お客様の固有のBitMEXデポジットアドレスにBitcoinを送ることのみです。お客様のユニークなBitMEXデポジットアドレスは「3BMEX」または「3BitMEX」で始まり、お客様自身のBitMEXアカウントの入金ページで確認できます。
- 当社の公式BitMEXコミュニケーションチャネルにご確認ください。こちらに記載されているページが主要な公式ソーシャルメディアコミュニケーションチャネルであり、これらを通じて提供される指示のみが公式のものです。
- また、パスワードは使いまわしのものではなく、強力でユニークなものを使用し、二段階認証の設定がまだの方はこちらのページから設定していただくようお願い致します。セキュリティに関してはこちらのポストをご参照ください。
まず、「パスワードを教えろ」「送金しろ」と言ってくるやつはニセモノだから注意しろという趣旨のことが書いてあるたぬ。
それから、公式BitMEXコミュニケーションチャネルに乗ってるところでの情報のみが公式だと言ってるたぬ。それ以外はフィッシングの可能性があるっていうことみたいたぬ。
最後に、パスワードを安全性の高いものにして、2段階認証を設定しろとのことたぬ。
今のところ、公式が言ってるのはこのくらいたぬ。
被害状況・影響関係など
噂が錯綜していて、正直どこまで本当かわからん部分もあるたぬけど、一応現時点でわかってることをまとめておくたぬ。
ハッカー集団が不正利用している
Cointelegraphhttps://cointelegraph.com/news/hackers-take-over-bitmex-twitter-but-customer-funds-reportedly-safe
30k email dump selling on darknet, and passwords found from previous hacks
たぬき訳「3万件のアドレスが闇市場で売られているし、過去にハックされたパスワードも見つかってるよ」
もうさっそくこんなことになってるみたいたぬ。ピェ〜たぬ。
他にも、Twitterではハッカー集団の動向を報告するツイートがあるたぬ。
Bitmexのツイッターアカウントがハッキングされる
おいおい・・・と思っていたらなんとビットメックス公式のツイッターアカウントが一時ハッキングされたみたいたぬ。
Cointelegraphhttps://cointelegraph.com/news/hackers-take-over-bitmex-twitter-but-customer-funds-reportedly-safe
Hackers Take Over BitMEX Twitter, but Customer Funds Reportedly Safe
たぬき訳「Bitmexのツイアカが乗っ取られたけど、ユーザーの資金は大丈夫とのことだよ」
なんとなく皮肉っぽいニュアンスを感じたのは環だけたぬかな?「ツイッターすら乗っ取られてるのに資金は大丈夫だってさ()」みたいに。
ハックされて起きたことは
The first message read “Take your BTC and run. Last day for withdrawals,” followed by another reading simply, “Hacked.”
たぬき訳 「「ビットコイン持って逃げろ、出金できる最後の日だぞ」の後に「ハックされた」ってツイートされたよ〜」
尚現在どっちのツイートも削除済みたぬ。
パスワードの変更を要求されるけど本物?
ログイン画面「パスワードのリセットが必要です。」
ログインしようとしたら弾かれたぬき。
「パスワードのリセットが必要です。下の「パスワードを忘れました。」をクリックしてください」
いや忘れてねえよ!たぬきなめんなよ!たぬたぬたぬ!
メール「アカウントを保護するためにパスワードをリセットしてください」
今度はこんなメールがきたぬき。
おいおい・・・これ本物なんか?釣りじゃないんか?
公式ブログの「BitMEXがユーザー様にパスワードを求めることはありません。」っていうのは「アドレス変更要求メールは送るよ」を含意していたぬきか?
一応英文でも確認しておくたぬ。
https://blog.bitmex.com/updated-statement-on-the-email-privacy-issue-impacting-our-users/
BitMEX will never ask for your password.
ask・・・ねえ。確かにaskされてはないたぬねぇ。
「パスワード変更しろ」は本物なのか?確認する。
う〜ん本物なんだろうか?たぬ。メールが来ることの方が来ないより不安になったぬき。
さっきのメールをもう一度貼るたぬ。
まず水色の丸たぬ。
差出人アドレスは「noreply@bitmex.com」たぬ。これはさっき見たように、公式が使ってるアドレスたぬ。
https://blog.bitmex.com/ja-jp-updated-statement-on-the-email-privacy-issue-impacting-our-users/
フィッシングに注意してください。BitMEXからのメールは「support@bitmex.com」と「noreply@bitmex.com」から送信されます。これらの電子メールが迷惑メールフォルダに入らないように、これらの電子メールアドレスを連絡先リストに追加してください。BitMEXがユーザー様にパスワードを求めることはありません。
それから、ピンクの四角をみるたぬ。
そこに書いてあるのは「https://blog.bitmex.com/ja-jp-updated-statement-on-the-email-privacy-issue-impacting-our-users/」、つまりさっきから引用している公式ブログのURLたぬ。
一応、ハイパーテキストじゃなくて「URLのリンクをコピー」でも確認したぬきだけど、偽装短縮URLとかではなく同じだったぬき。
同じくパスワードリセット画面も問題なさそうたぬ。
結論: このメールは本物だったみたいたぬ。「BitMEXがユーザー様にパスワードを求めることはありません。」が微妙な表現で戸惑っちまったぬき。
ただし「これが本物だった」というのは「これが」たぬ。環に来ていたメールが本物だっただけたぬ。
公式も注意喚起していたように、ニセモノからのフィッシングメールは強く警戒すべきたぬ。
そんなわけで、環はパスワード変更して無事ログイン完了したぬき。
今後のために
いい機会たぬ。パスワードを強力なものにして、2段階認証をすることたぬ・・・。
二段階認証のやり方はやはり公式ブログに乗ってるたぬ。
https://blog.bitmex.com/ja-jp-important-security-advisory-update-june-2019/
一応、万が一どうしても不安なたぬきは新しいアドレスで新しく口座を開き直すという手もあるたぬ。
口座の開き方を忘れてしまったぬきのために、懐かしの「準備2」を貼っておくたぬ。
・・・ただ、正直、「パス変えて二段階認証したけど、どうしても不安だ」っていうならしばらくやんない方がいいんじゃないかと思うたぬ。
ハッキングの不安を抱えてやるようなことじゃないたぬ。
・・・最後に一言
環も普段アフィリンク貼ってるし、「アフィは全員インチキ野郎だ」とは思ってないたぬ。ルールに従ったアフィの貼り方は自由に行われるべきだと思うたぬ。
でも・・・でも、たぬ。
今回の事件に乗じて「作り直すならこのリンクから!w」みたいにアフィリンクベタベタ貼ってるインフルエンサーたちにはちょっとがっかりたぬ。
それどころか同じ人が「メックスよりこっちの取引所がいいぞ」みたいな誘導までしているたぬ。こうなるとまるでスパム業者みたいたぬ。というか本物のスパム業者みたいなアカウントも同じようなことしているのが観察されるたぬ。
別に善人ぶるつもりもないたぬ。ただもうちょっとやり方あんじゃないのかな〜という風に思ったぬき。
だから今回、環はアフィリンクを貼ったりとかしてないたぬ。セキュリティについてにの注意の記事たぬから、もちろん、短縮URLで滑り込ませるみたいなこともしてないたぬ。
ま、そんなわけで今回はこの辺にしとくたぬ。いつになく色々とシリアスですまんたぬ。
みんな色々気をつけておくれたぬ。