有名な暗号通貨取引所である Bitfinex は現在、データベース漏洩に関する申し立てがオンラインで浮上したことを受けて、潜在的なセキュリティ侵害に対する懸念に対処しています。噂が広まり始めたのは、4 月 25 日に匿名の投稿が投稿され、Bitfinex のシステムから抽出されたとされるデータへのリンクが提示されたときです。このデータセットには、電子メール アドレスとパスワードを含む 22,500 件のレコードが含まれていたと言われています。
これはセキュリティ研究者からのメッセージです(パニックになるのではなく、もう少し詳しく調べようとしています)。「何が起こっているのか、なぜハッキングされたと主張するメッセージが送られてくるのか、理解し始めたと思います。チケットのスクリーンショットのメッセージは… pic.twitter.com/YjwG2eeXw2
— パオロ・アルドイーノ (@paoloardoino) 2024 年 5 月 4 日
サイバーセキュリティコミュニティはすぐに反応し、複数の専門家が重大なセキュリティ侵害の可能性を示唆しました。しかし、Bitfinex はこれらの主張を否定し、疑惑のデータにはいくつかの矛盾があることを強調しました。漏洩したデータには、Bitfinex のユーザーベースに一致する 5,000 件の電子メールアドレスのみが含まれており、これは本物の侵害から予想される数のほんの一部です。Bitfinex は、プレーンテキストのパスワードや 2 要素認証の秘密を暗号化されていない形式で保存していないと主張しており、提示されたデータの信頼性に疑問を投げかけています。ハッカーとされる人物から Bitfinex に直接連絡があったことはありませんが、これは本物のデータ侵害事件で観察される典型的な行動を考えると異例です。
ビットフィネックスの対応
ビットフィネックスはシステムの徹底的な分析を開始したが、これまでのところ侵害の証拠は見つかっていない。また、同社の顧客確認(KYC)プラットフォームは強力なレート制限機能で保護されており、大量のデータ抽出が行われる可能性は極めて低いと指摘した。
セキュリティ研究者は、ユーザーがログイン認証情報をさまざまなサイトで再利用することが多いことを指摘し、この漏洩は複数の仮想通貨関連の侵害から得たデータの集約である可能性があると示唆している。さらに、セキュリティ研究者は、この侵害をめぐる誇大宣伝は、Bitfinexやラトガース大学などの他の組織に対して使用されたとされるハッキングツールを宣伝するためのサイバー犯罪者によるマーケティング活動である可能性を示唆する洞察を提供した。このツールは、その有効性をアピールして他のサイバー犯罪者を引き付けるために、Telegramチャンネルで宣伝されていると報じられている。
現時点では、Bitfinex は、この事件は根拠がなく、暗号通貨コミュニティ内で恐怖、不確実性、疑念 (FUD) を広めるために仕組まれたものであると確信しています。同社は、すべての資金が安全であることをユーザーに保証し、状況を引き続き注意深く監視し、考えられるすべてのセキュリティ対策を評価して実施します。