FTX, le autrefois bien-aimé échange de crypto qui implosé dans un tourbillon de mauvaise conduite financière l’année dernière, semble avoir déployé un minimum d’efforts pour protéger les actifs numériques de ses clients. de l’entreprise dernier rapport de faillite révèle qu’en plus de gérer ses finances comme un empereur romain débauché, la crypto-bourse en disgrâce a également eu certains des pires pratiques de cybersécurité imaginables.
Bien sûr, nous savions que FTX était nul en matière de sécurité numérique depuis au moins novembre dernier, lorsque, moins de 24 heures après que l’entreprise a déclaré Chapter 11 et son ancien PDG, Sam Bankman-Fried, a démissionné, l’entreprise a cyber-attaque. Au cours de cette cyberattaque, quelqu’un s’est emparé de 432 millions de dollars d’actifs, un lot d’argent numérique qui est toujours introuvable , tout comme bien plus de l’argent des clients FTX.
À l’époque, l’incident de piratage semblait être une mauvaise nouvelle de plus, en plus d’un sundae de merde déjà épique, mais maintenant nous avons un peu plus de contexte pour l’épisode. Le rapport de lundi, qui passe en revue de manière approfondie l’échec total de l’entreprise à instituer des protections numériques assez basiques, est un Un chef-d’œuvre de bande dessinée qui vous fera vous demander comment l’entreprise n’a pas été piratée plus tôt.
«Le groupe FTX n’a pas mis en implémente des contrôles de sécurité de base largement acceptés pour protéger les actifs crypto . Chaque échec était grave dans le contexte d’un entreprise chargée des transactions des clients », indique le dossier. Voici quelques-uns des points à retenir sur ces échecs.
FTX n’avait pas de personnel de cybersécurité
Bien qu’il s’agisse d’une entreprise chargée de protéger des dizaines de milliards de dollars en actifs cryptographiques, FTX n’avait pas de personnel dédié à la cybersécurité. Aucun. En effet, Le dossier de lundi montre que l’entreprise n’a jamais pris la peine d’embaucher un RSSI (un responsable de la sécurité de l’information) pour gérer les risques pour eux. Au lieu de cela, ils se sont appuyés sur deux des développeurs de logiciels de l’entreprise qui, Selon le rapport, ils n’avaient pas de formation formelle en matière de sécurité et leurs emplois les mettaient en contradiction avec la priorité réelle accordée à la sécurité. Le rapport indique :
Le Groupe FTX n’avait aucun responsable indépendant de la sécurité de l’information, aucun employé ayant une formation ou une expérience appropriée chargé de s’acquitter des responsabilités d’un tel rôle, et aucun processus établi pour évaluer les cyber-risques, mettre en œuvre des contrôles de sécurité ou répondre aux cyber-incidents en temps réel… comme avec contrôles critiques dans d’autres domaines, le groupe FTX a largement dépriorisé et ignoré les contrôles de cybersécurité, un fait remarquable étant donné que, en substance, le groupe FTX L’ensemble des activités du groupe (ses actifs, son infrastructure et sa propriété intellectuelle) consistait en du code informatique et de la technologie.
Certes, de nombreuses entreprises technologiques souffrent de manque de personnel en matière de cybersécurité, mais ce n’est vraiment excusable que si vous êtes une start-up et que vous n’avez pas la main-d’œuvre ou le capital nécessaire pour embaucher des personnes compétentes. Dans les jours précédant son implosion, FTX était signalé cela vaudrait jusqu’à 32 milliards de dollars. Il suffit de dire que je pense qu’ils auraient pu embaucher un gars.
FTX Presque jamais utilisé l’entreposage frigorifique, la norme de l’industrie
Une autre chose vraiment stupide que FTX a fait a été de ne pas conserver les actifs cryptographiques de ses utilisateurs dans un entrepôt frigorifique – une pratique de sécurité standard que la plupart les échanges cryptographiques prétendent se conformer.
En général, les crypto-actifs peuvent être stockés de deux manières distinctes : ”portefeuilles chauds“, qui sont des comptes logiciels connectés à Internet ; et ”chambre froide“, qui est une forme de stockage hors ligne basée sur le matériel. Le stockage frigorifique est considéré comme sécurisé, tandis que les “portefeuilles chauds” sont plus risqués, car – étant liés au Web – ils peuvent (et souvent le font) se faire pirater.
La sagesse commune suggère que les entreprises conservent autant de crypto dans leurs portefeuilles chauds que nécessaire pour garder leurs comptes liquides, tandis que le reste de la crypto devrait être conservé dans une chambre froide. Cependant, FTX ne l’a pas fait ; au lieu de cela, le rapport indique qu’il a conservé « pratiquement actifs des clients dans des portefeuilles chauds.
FTX ne savait-il pas que le stockage frigorifique était plus sûr ou quelque chose comme ça ? Non, c’est pire que d’être trop stupide pour mettre en œuvre des contrôles appropriés, la bourse Le leadership ne semble tout simplement pas avoir donné grand-chose.
« Le Groupe FTX a sans aucun doute reconnu comment un échange de crypto prudent devrait fonctionner, car lorsque des tiers lui demandent de décrire dans la mesure dans quel il a utilisé un entrepôt frigorifique, il a menti », indique le rapport, énumérant un certain nombre d’exemples dans lesquels des dirigeants de FTX, y compris SBF, ont affirmé que ils ont conservé les actifs des utilisateurs dans un entrepôt frigorifique. Dans un cas, la société a déclaré aux investisseurs que, conformément aux meilleures pratiques du secteur, elle a conservé une petite quantité de crypto-monnaie dans des portefeuilles chauds, tandis que le reste était « stocké hors ligne dans des ordinateurs portables cryptés à espace d’air, qui sont répartis géographiquement. » Mais ce n’était, selon le rapport, que des conneries.
Au lieu de cela, comme le indique le rapport, «le groupe FTX a peu utilisé l’entreposage frigorifique »,sauf au Japon, «où [c’était] nécessaire par règlement pour l’utiliser.
Les clés cryptographiques privées n’ont pas été chiffrées
Une autre chose totalement idiote que les espions FTX ont fait est de conserver les clés cryptographiques sensibles et les phrases de départ des clients stockées dans des documents en texte brut qui étaient apparemment accessible au personnel.
Dans la cryptographie, la clé ou la phrase de départ est le mot de passe qui vous permet d’accéder au portefeuille individuel d’un utilisateur. Il suffit de dire que les normes de l’industrie obliger les échanges cryptographiques à garder ces informations cryptées et, ainsi, à l’abri des regards indiscrets. Ce n’est pas le cas avec FTX, qui gardait apparemment les clés qui pourrait ouvrir des portefeuilles d’une valeur de dizaines de millions de dollars non chiffrés, en texte brut, qui traînent simplement dans AWS.
D’après le rapport, cela faisait partie intégrante d’une approche généralement désorganisée de la sécurité, dans laquelle « des clés privées et des phrases de départ étaient utilisées. par FTX.com, FTX.US et Alameda ont été stockés dans divers endroits dans l’environnement informatique du groupe FTX de manière désorganisée, en utilisant une variété de méthodes non sécurisées et sans aucune procédure uniforme ou documentée.”
Le Gang FTX n’a pas vraiment utilisé l’authentification multifacteur
SBF et sa joyeuse bande de hipsters apparemment « n’ont pas non plus réussi à imposer forme de sécurité Web que presque tous ceux qui travaillent dans un bureau connaissent. Le rapport récemment publié indique que le leadership de la crypto-bourse “n’a pas pu mettre en œuvre de manière appropriée, même les contrôles les plus largement acceptés, relatifs à la gestion des identités et des accès (“IAM”). » incluaient un échec dans l’utilisation des services MFA ainsi que des services d’authentification unique, également largement considérés comme une bonne pratique du secteur.
Et bien plus encore !
Il y a beaucoup d’autres joyaux hilarants de négligence en matière de sécurité que FTX semble avoir commis, alors je suggère de lire le rapport complet si vous voulez que votre mâchoire tombe au sol.
