Февраль стал черной страницей в истории FixedFloat. Злоумышленник воспользовался уязвимостью в нашей структуре безопасности и украл $26,1 млн. Наша команда приняла все необходимые меры для устранения слабых мест нашей системы безопасности и предотвращения подобных инцидентов. Но, к сожалению, инцидент повторился.
31-го марта наш сервис снова подвергся атаке со стороны того же хакера. Проанализировав произошедшее, наша команда пришла к выводу, что злоумышленник воспользовался уязвимостью третьей стороны, услугами которой мы пользовались на тот момент. Мы воздерживались от комментариев и не разглашали детали о третьей стороне, так как надеялись на их сотрудничество. Но теперь мы готовы раскрыть все детали произошедшего.
Time4VPS, but no Time4Safety
Мы уже давно используем хостинг Time4VPS для реализации некоторых технических решений. Он был выбран как наиболее дешевый и удобный вариант для начала развития нашего проекта. За последние годы мы перенесли наши подсерверы и кошельки на другие собственные сервера. На начало 2024 года на сервере Time4VPS находилось несколько маломощных нод с кошельками, а также некоторые подсистемы.
Как заявляет сам Time4VPS, он обслуживает более 100 000 клиентов по всей Европе и является крупнейшим провайдером веб-хостинга в Литве (Европе). Он предоставляет услуги регистрации интернет-адресов, веб-хостинга и VPS. Среди своих достоинств Time4VPS отмечает Secure and hassle-free и 24/7 customer support.
Нам нравится много работать, но мы стараемся не относиться к себе слишком серьезно. Опытные, дружелюбные и энергичные специалисты с сильным техническим образованием готовы предложить быструю и качественную поддержку. Мы очень ценим наше сообщество.
(с) Time4VPS
В их не слишком серьезном отношении к работе мы убедились на собственном опыте.
В результате первого взлома в феврале хакеру удалось узнать IP одного нашего технического сервера, который был арендован у Time4VPS. 31-го марта мы зафиксировали несанкционированный вход на все наши сервера, которые были арендованы в хостинге Time4VPS в одно время, хотя хакерам был известен всего один IP. Мы незамедлительно сменили пароли на всех серверах и аккаунтах, однако спустя некоторое время мы получили email, что наш пароль на сервере был вновь изменен.
К сожалению, виртуализация арендованных серверов в данном хостинге не позволяла задействовать многие протоколы безопасности после обнаружения несанкционированного доступа, что, конечно, усугубило проблему. Однако нам удалось найти решение, при котором смена паролей на сервере не давала возможность авторизоваться на нем. Таким образом мы пытались выиграть время для постепенного перехода с этого хостинга. Но мы не предусмотрели, что злоумышленник завладел доступом ко всем функциям хостера, в том числе и к глобальному доступу ко всем имеющимся серверам, что сделало наши действия абсолютно неэффективными.
Сейчас мы уже понимаем нашу ошибку: мы не уничтожили сервера немедленно, а также не исключили их из белых списков. 1 апреля хакер изменил email аккаунта на невалидный, чтобы мы больше не могли авторизоваться в аккаунте и не получали письма о сменах пароля с помощью системных функций хостера, а затем он подключился с серверам без необходимости авторизаций. Так как сервера остались в белых списках, хакеру удалось отправить некоторые запросы, позволяющие украсть средства.
Easter holiday: хакер атакует, команда Time4VPS отдыхает
Еще 31-го марта сразу после обнаружения проникновения на наши сервера мы немедленно уведомили Time4VPS о взломе. Факт взлома был очевиден и сразу определен, так как никто из нашей команды не авторизовывался в нашем аккаунте.
Реакция технической поддержки была крайне разочаровывающей: нам сообщили, что у технических специалистов выходной, и они ничем не могут нам помочь. На следующий день со стороны Time4VPS снова не было предпринято никаких действий. Они лишь посоветовали нам сменить пароли в аккаунте. Только после прямого указания на невозможность совершения некоторых действий через личный кабинет они проверили факты и подтвердили взлом, пообещав на следующий день предоставить отчёт об инциденте.
Прошло более 3 месяцев, а мы до сих пор не получили от них отчет. Более того, они потребовали от нас предоставить некоторые документы через их же систему, не подтвердив, что уязвимость была найдена и устранена, что является риском новой утечки информации. Мы отказались предоставлять им какие-либо документы без отчета о взломе и устранения уязвимостей, а также без прямого участия правоохранительных органов.
У нас есть несколько версий о причинах произошедшего. Мы не исключаем вероятность того, что взлому мог содействовать сотрудник Time4VPS. Однако мы больше склоняемся к полной безалаберности сервиса Time4VPS и стоящей за ней литовской компании UAB "Interneto vizija". В текущей ситуации у нас есть основания полагать, что критические уязвимости хостера всё ещё не были устранены и все данные клиентов данной компании могут быть незащищены от атак хакеров.
FixedFloat возвращается к работе
Нашему сервису уже почти 6 лет. У нас дружная команда, которую объединяет одна цель - предоставлять лучший сервис по обмену криптовалют нашим пользователям. После второго взлома мы приостановили свою работу на 2 месяца. Все это время наша команда трудилась над изменениями нашей инфраструктуры для защиты от подобных атак.
Сейчас мы возобновили свою работу: большая часть криптовалют доступна для обменов, все обязательства перед клиентами, оставшиеся после взлома, выполнены, а наши специалисты уже трудятся над добавлением новых валют.
Мы безмерно благодарны всем тем, кто ждал нас. Ваши слова поддержки воодушевляли нас. FixedFloat вернулся и готов снова радовать вас качественным сервисом, быстрыми обменами и отличным курсом.