Bitfinex, một sàn giao dịch tiền điện tử nổi tiếng, hiện đang giải quyết những lo ngại về vi phạm bảo mật tiềm ẩn sau khi xuất hiện các khiếu nại trực tuyến về rò rỉ cơ sở dữ liệu. Tin đồn bắt đầu lan truyền khi một bài đăng ẩn danh xuất hiện vào ngày 25 tháng 4, trình bày các liên kết đến dữ liệu được trích xuất từ ​​hệ thống của Bitfinex. Tập dữ liệu này được cho là bao gồm 22.500 bản ghi chứa địa chỉ email và mật khẩu.

Đây là tin nhắn từ một nhà nghiên cứu bảo mật (thay vì hoảng sợ, hãy cố gắng tìm hiểu sâu hơn một chút). "Tôi tin rằng tôi bắt đầu hiểu chuyện gì đang xảy ra và tại sao họ lại gửi những tin nhắn này cho rằng bạn đã bị hack. Tin nhắn trong ảnh chụp màn hình trong vé đến từ… pic.twitter.com/YjwG2eeXw2

– Paolo Ardoino (@paoloardoino) Ngày 4 tháng 5 năm 2024

Cộng đồng an ninh mạng đã nhanh chóng phản hồi, trong đó một số chuyên gia cho rằng có khả năng xảy ra một vụ vi phạm an ninh nghiêm trọng. Tuy nhiên, Bitfinex đã bác bỏ những tuyên bố này, nhấn mạnh một số điểm mâu thuẫn trong dữ liệu bị cáo buộc. Dữ liệu bị rò rỉ chỉ bao gồm 5.000 địa chỉ email phù hợp với cơ sở người dùng của Bitfinex, một phần nhỏ so với những gì có thể xảy ra từ một vi phạm xác thực. Bitfinex khẳng định rằng họ không lưu trữ mật khẩu văn bản gốc hoặc bí mật xác thực hai yếu tố ở định dạng không được mã hóa, đặt câu hỏi về tính xác thực của dữ liệu được trình bày. Không có liên hệ trực tiếp nào từ các tin tặc bị cáo buộc với Bitfinex, điều này là bất thường do hành vi điển hình được quan sát thấy trong các sự cố vi phạm dữ liệu thực sự.

Phản hồi của Bitfinex

Bitfinex đã bắt đầu phân tích chuyên sâu về hệ thống của mình và cho đến nay không tìm thấy bằng chứng nào về vi phạm. Họ cũng lưu ý rằng nền tảng Biết khách hàng (KYC) của họ được bảo mật bằng các tính năng giới hạn tỷ lệ mạnh mẽ, khiến việc trích xuất dữ liệu hàng loạt rất khó xảy ra.

Các nhà nghiên cứu bảo mật đã đề xuất rằng vụ rò rỉ bị cáo buộc có thể là sự tổng hợp dữ liệu từ nhiều vi phạm liên quan đến tiền điện tử, lưu ý rằng người dùng thường sử dụng lại thông tin đăng nhập trên các trang web khác nhau. Ngoài ra, một nhà nghiên cứu bảo mật đã cung cấp những hiểu biết sâu sắc cho thấy rằng sự cường điệu xung quanh vụ vi phạm có thể là một chiêu trò tiếp thị của tội phạm mạng nhằm quảng bá một công cụ hack được cho là được sử dụng để chống lại Bitfinex và các tổ chức khác, như Đại học Rutgers. Công cụ này được cho là đang được quảng cáo trên kênh Telegram để thu hút tội phạm mạng khác bằng cách thể hiện tính hiệu quả của nó.

Tính đến thời điểm hiện tại, Bitfinex vẫn tự tin rằng vụ việc này là vô căn cứ và được thiết kế để gieo rắc nỗi sợ hãi, sự không chắc chắn và nghi ngờ (FUD) trong cộng đồng tiền điện tử. Công ty trấn an người dùng rằng tất cả các khoản tiền đều được an toàn và sẽ tiếp tục theo dõi tình hình chặt chẽ, đảm bảo rằng mọi biện pháp bảo mật có thể đều được đánh giá và thực thi.