我們對發生的事情的了解
今年3 月10 日至18 日前後,兩家第三方服務的比特幣客戶數據遭到洩露:
- 其中一個是名為ActiveCampaign 的電子郵件營銷系統。
- 其中一個是名為HubSpot 的客戶關係管理器(CRM) Web 應用程序。
總的來說,這兩起單獨的事件針對並訪問了屬於至少31 家比特幣公司的客戶的個人信息(PI)。在所有情況下,洩露的數據都包括客戶的姓名和電子郵件地址。在大多數情況下,它還包括實際地址和電話號碼。在其他情況下,被盜數據還包括IP 地址、瀏覽歷史、用戶類型和其他客戶信息。
從公開共享的信息來看,一種危害是通過社會工程發生的,一種危害是通過網絡釣魚攻擊發生的。
我們還不知道其他比特幣公司是否已通過其第三方服務受到損害。其他公司可能還沒有意識到他們的數據已被洩露。
總而言之,一直有針對比特幣人的不良行為者——對比特幣公司的攻擊也在增加。網絡攻擊的數量正在大幅上升。
KYC 的意思是“了解你的客戶”。如果您為了購買比特幣或其他服務而將上述任何個人信息提供給這些Bitcon 公司中的一個或多個,那麼該公司為了解其客戶而需要的您的個人信息現在已被洩露。
實施這些成功攻擊的一個或多個壞人——至少——現在知道你持有比特幣。他們可能打算如何利用這些信息還有待觀察。所以,你應該遮住你的……背面。
什麼是CRM 或電子郵件營銷服務?
一種 客戶關係管理(CRM) 系統“是企業或其他組織管理其與客戶互動的過程。” Salesforce 可能是最著名的CRM 示例。像HubSpot 這樣的電子郵件營銷服務是公司將新聞通訊和其他信息通過電子郵件發送給不同用戶組的一種簡便方法。
與大多數人如何使用各種數字生產力應用程序來管理他們的聯繫人和通信生活類似,企業和其他組織使用CRM 和電子郵件營銷服務來以數字方式運營他們的業務。您購物或與之合作的每家數字企業也可能會洩露這些個人數據。
你怎麼能在未來CYA
如果您要與需要KYC 並存儲您的聯繫方式的公司進行互動,以下是我對您應該對CYA 採取的最少步驟的建議:
- 電子郵件:獲取僅用於比特幣金融服務的單獨電子郵件地址。如果存在數據洩露,請獲取一個新的電子郵件地址並更新所有比特幣服務的電子郵件信息。
- 電話:獲取一個單獨的互聯網電話號碼並將其用於任何比特幣服務。與電子郵件地址一樣,如果數據洩露,請更改所有比特幣服務的電話號碼。
- 帳戶訪問:使用身份驗證器應用程序或硬件密鑰啟用多因素身份驗證(MFA)。不要將SMS/文本用於MFA。 (請記住,如果被入侵,他們現在將擁有您的電話號碼,並且可能會交換SIM 卡併入侵您)。
始終使用強密碼和密碼管理器,不要在不同的服務中重複使用相同的密碼。 - 實際地址:獲取郵政信箱或其他送貨地點以代替您的家庭或工作地址。
有些人甚至使用完全獨立的桌面系統進行比特幣服務交互。
查看我在 “來自Casa Keyfest 的比特幣操作安全提示。”
如果您的數據被洩露,您如何進行CYA
基本上,請按照上述步驟更改您的比特幣公司資料和帳戶憑據中的內容——現在。
然後,您將知道未來與舊電子郵件地址或電話號碼的公司聯繫應被視為可疑且可能是邪惡的。
你怎麼能CYA 反對社會工程
首先,不要假設您不會受到社會工程攻擊。
社會工程學是一種狡猾的妥協方法,它會滿足你被看到和理解的願望。如果不良行為者從CRM 獲得您的信息,他們將使用有關您瀏覽過的內容、購買的商品以及過去的對話的信息,以使您感覺他們與您有個人聯繫。他們將利用他們可以檢測到的任何心理脆弱性來使您信任他們,然後採取可能導致妥協的行動,從而為他們帶來經濟利益。
想像一下,明天你接到一個電話(社會工程),表面上是來自你的一個比特幣服務提供商,通知你攻擊,並提供更新你的密碼,然後直接通過電話。您的來電顯示甚至顯示他們是從他們所說的公司打來的。他們只需要您當前的密碼來驗證您的身份。如果你啟用了它,他們甚至可能會說你會收到一個2 因素身份驗證請求發送到你的手機,果然,你得到了一個。他們會要求您閱讀代碼以“確認您的身份”。
實際發生的情況是他們欺騙了來電顯示,使其看起來像是從那家公司打來的。他們以您的身份登錄網站,您向他們提供了訪問您的帳戶所需的所有信息。
始終直接訪問網站並在那裡進行任何個人資料更改。
您如何CYA 對抗電子郵件網絡釣魚
不要假設您在技術上如此精明,以至於不會陷入魚叉式網絡釣魚攻擊。即使是應該知道更好的人也一直為他們墮落。
想像一下,明天你收到一封電子郵件(網絡釣魚攻擊),表面上來自你的一個比特幣服務提供商,通知你攻擊,並建議你立即登錄以更新你的密碼,提供一個方便的登錄鏈接。
你應該點擊那個鏈接嗎?
回答:不!你永遠不應該點擊電子郵件中的鏈接。
做一些研究,讓自己了解這些看起來有多真實,以及它們如何利用心理偏見和噪音來欺騙你的眼睛和大腦。
KnowBe4 是一家提供員工安全培訓的公司,並且有很多關於如何發現和避免網絡釣魚攻擊的免費信息。
我個人很少(如果有的話)點擊比特幣公司的鏈接。轉到該站點並直接登錄。小小的額外努力值得額外的安全性和避免個人信息洩露的風險。
如何通過中心化交易所進行CYA
與往常一樣,不是您的鑰匙,也不是您的硬幣。要真正去中心化,你必須讓你的比特幣離開交易所並進行自我監管。
這不僅僅是比特幣公司的問題。然而,正如我在另一篇文章中所寫的那樣,在這一點上應該很明顯的事情是,比特幣人是目標。
安全和隱私的警鐘
這些妥協應該是對數字生活所有領域安全性的警鐘。
而且,您剛剛意識到您確實關心隱私。
為此,您可以選擇轉向不進行KYC 和/或不保存您的某些個人信息的服務。
有關Hubspot 妥協的更多詳細信息,請參閱Robert Warren 的 “Hubspot 比特幣公司數據洩露對您意味著什麼(不好)”.
這是海蒂·波特的客座文章。所表達的意見完全是他們自己的,不一定反映BTC Inc 或 比特幣雜誌.