FTX, el una vez amado El intercambio de criptomonedas que se hundió en una bola de llamas malversadas financieramente en noviembre pasado, parece no haberle importado mucho la protección de los activos digitales de sus clientes..
Efectivamente, la empresa último informe de quiebra revela que, además de administrar sus finanzas como un cruce entre un mono bebedor de Jim-Beam y un emperador romano libertino, el deshonrado intercambio de criptografía aparentemente también tuvo algunas de las peores prácticas de ciberseguridad imaginables.
Sí, esta empresa solo estaba pidiendo que la piratearan. Y por supuesto que sí.
En noviembre pasado, menos de 24 horas después de que la compañía se declarara en bancarrota del Capítulo 11 y no mucho después de que su ex líder, Sam Bankman-Fried (o SBF) renunciara como director ejecutivo, la compañía sufrió una enorme robo digital en el que un demonio aún no identificado se hizo con $ 432 millones en activos, un paquete de efectivo digital que aún no se ha contabilizado, al igual que mucho más del dinero de los clientes de FTX.
G/O Media puede recibir una comisión
Ahorre $ 400
MacBook Pro 2021 de 14″ y 1 TB
Los MacBook Pro son el camino a seguir
La CPU de hasta 10 núcleos ofrece un rendimiento hasta 3,7 veces más rápido para volar a través de flujos de trabajo profesionales más rápido que nunca. GPU de hasta 32 núcleos con un rendimiento hasta 13 veces más rápido para aplicaciones y juegos con uso intensivo de gráficos
En ese momento, el incidente de la piratería parecía solo una mala noticia además de un helado de mierda ya épico, pero ahora tenemos un poco más de contexto para el episodio. De hecho, el informe del lunes, que revisa extensamente el fracaso total de la compañía para instituir protecciones digitales bastante básicas, es una obra maestra cómica que hará que te preguntes cómo la compañía no fue pirateada antes.
“FTX Group no implementó controles de seguridad básicos y ampliamente aceptados para proteger los criptoactivos. Cada falla fue atroz en el contexto de un negocio encargado de las transacciones de los clientes”, afirma el informe. Estas son algunas de las conclusiones sobre esos fracasos.
FTX no tenía personal de seguridad
A pesar de ser una empresa encargada de proteger decenas de miles de millones de dólares en criptoactivos, FTX no contaba con personal dedicado a la ciberseguridad. Ninguno. De hecho, la compañía nunca se molestó en contratar a un CISO (un director de seguridad de la información) para gestionar los riesgos de la empresa por ellos. En su lugar, confiaron en dos de los desarrolladores de software de la empresa que, según señala el informe, no tenían una formación formal en el ámbito de la seguridad y cuyos trabajos les impedían priorizar la seguridad. El informe dice:
El Grupo FTX no tenía un director de seguridad de la información independiente, ningún empleado con la capacitación o la experiencia adecuadas encargados de cumplir con las responsabilidades de tal función, y ningún proceso establecido para evaluar el riesgo cibernético, implementar controles de seguridad o responder a incidentes cibernéticos en tiempo real. ..al igual que con los controles críticos en otras áreas, FTX Group quitó importancia e ignoró los controles de seguridad cibernética, un hecho notable dado que, en esencia, todo el negocio de FTX Group (sus activos, infraestructura y propiedad intelectual) consistía en tecnología y código informático. .
Por supuesto, muchas empresas de tecnología sufren de escasez de personal cuando se trata de seguridad cibernética, pero eso solo es excusable si eres un unicornio o una startup y no tienes la mano de obra o el capital para contratar personas competentes. En los días previos a su implosión, FTX fue reportado tener un valor de hasta $ 32 mil millones. Baste decir que creo que podrían haber contratado a un tipo.
FTX prácticamente nunca usó almacenamiento en frío
Otra cosa realmente tonta que hizo FTX fue no mantener los activos criptográficos de sus usuarios en almacenamiento en frío, una práctica de seguridad estándar que la mayoría de los intercambios de criptomonedas afirman cumplir.
En general, los criptoactivos se pueden almacenar de dos formas distintas: “carteras calientes
La sabiduría común sugiere que las empresas mantengan tantos criptos en monederos calientes como sea necesario para mantener las cuentas líquidas, mientras que el resto de los criptos deben mantenerse en almacenamiento en frío. Sin embargo, FTX no hizo eso; en cambio, el informe dice que mantuvo “prácticamente todos” los activos de sus clientes en billeteras calientes.
¿FTX no sabía que el almacenamiento en frío era más seguro o algo así? No, peor que ser demasiado estúpido para implementar los controles adecuados, el liderazgo del intercambio parece no haberle importado mucho.
“El Grupo FTX, sin duda, reconoció cómo debería operar un criptointercambio prudente, porque cuando terceros le pidieron que describiera hasta qué punto utilizaba el almacenamiento en frío, mintió”, afirma el informe, que enumera una serie de ejemplos en los que los ejecutivos de FTX: incluido SBF, afirmaron que mantuvieron los activos de los usuarios en almacenamiento en frío. En un caso, la compañía les dijo a los inversionistas que, de acuerdo con las mejores prácticas de la industria, mantuvo una pequeña cantidad de criptomonedas en billeteras activas, mientras que el resto estaba “almacenado fuera de línea en computadoras portátiles encriptadas con espacio de aire, que están distribuidas geográficamente”. Pero esto fue, según el informe, solo una mierda.
En cambio, como señala el informe, “el Grupo FTX hizo poco uso del almacenamiento en frío” excepto en Japón, “donde [it was] requerido por la regulación para usarlo”.
Las claves privadas se dejaron sin cifrar
Otra cosa totalmente idiota que hicieron los píos de FTX fue mantener las claves criptográficas confidenciales de los clientes y las frases iniciales almacenadas en documentos de texto sin formato a los que aparentemente podía acceder el personal.
En criptografía, la frase clave o semilla es la contraseña que lo ingresa a la billetera individual de un usuario. Baste decir que los estándares de la industria obligan a los intercambios criptográficos a mantener esa información encriptada y, por lo tanto, a salvo de miradas indiscretas. No fue así con FTX, que aparentemente mantuvo claves que podían abrir billeteras por valor de decenas de millones de dólares sin cifrar, en texto sin formato, simplemente tiradas en AWS.
Según el informe, esto formaba parte de un enfoque generalmente desorganizado de la seguridad, en el que “las claves privadas y las frases iniciales utilizadas por FTX.com, FTX.US y Alameda se almacenaban en varios lugares del entorno informático de FTX Group en de manera desordenada, utilizando una variedad de métodos inseguros y sin ningún procedimiento uniforme o documentado”.
La pandilla FTX realmente no usó MFA
Aparentemente, SBF y su alegre banda de hipsters también “fracasaron en hacer cumplir de manera efectiva el uso” de la autenticación multifactor, una forma muy básica de seguridad web que casi todos los que trabajan en una oficina conocen. El informe publicado recientemente establece que el liderazgo del intercambio de cifrado “no implementó de manera adecuada incluso los controles más ampliamente aceptados relacionados con la gestión de identidad y acceso (“IAM”)”. Esto incluía la falta de uso de MFA, así como de los servicios de inicio de sesión único, que también se considera ampliamente como una mejor práctica de la industria.
¡Y mucho, mucho más!
Baste decir que hay muchas otras joyas hilarantes de negligencia de seguridad que FTX parece haber cometido, por lo que sugiero leer el reporte completo si quieres que tu mandíbula caiga al suelo.