Хакер #305. Многошаговые SQL-инъекции
Вечером 30 декабря многие пользователи криптовалютной биржи Poloniex получили странные письма, уведомлявшие их о принудительном сбросе паролей. Хотя пользователи сначала приняли эти послания за скам, вскоре оказалось, что утечка, из-за которой пришлось прибегать к таким мерам, произошла на самом деле.
This is a real email! Please reset your password for account security
— Poloniex Customer Support (@PoloSupport) December 30, 2019
Как позже подтвердили представители биржи, они действительно инициировали сброс паролей для многих пользователей, так как обнаружили в Twitter подозрительный список email-адресов и паролей. Утверждалось, эти учетные данные могут быть использованы для входа в аккаунты Poloniex. И хотя администрация обменника уверяет, что большая часть логинов и паролей не подходила к учетным записям Poloniex, все же было принято решение обнулить пароли от всех аккаунтов, чей email-адрес действительно использовался для регистрации на бирже.
Yes, someone leaked a list of email addresses and passwords on Twitter. If your account was on the list, you would have been the first to know, well before any media publication. We promptly sent emails out to all affected users, requiring them to change their password.
— Poloniex Customer Support (@PoloSupport) December 30, 2019
Пока не сообщается, какое количество учетных данных охватывал засветившийся в Twitter список, и сколько пользователей биржи могли подвергнуться риску компрометации. Официального заявления об инциденте представители ресурса до сих пор не сделали, а на запросы СМИ не отвечают.