Lykke en Hubdex gebruikers lopen door slechte beveiligingspraktijken risico op deze crypto marktplaatsen

De Lykke en Hubdex marktplaatsen blijken allerlei soorten privé-informatie openbaar toegankelijk te hebben gemaakt.

Een door CyberNews gepubliceerd rapport, wat een onafhankelijke publicatie is over onderzoek naar cyberbeveiliging, waarschuwt cryptoliefhebbers over de gevaren van het uitvoeren van transacties op onveilige online marktplaatsen. Er staat in dat ten minste 18 miljoen dollar aan cryptogeld blootgesteld is aan diefstal als gevolg van een slechte cyberbeveiliging.

CyberNews heeft twee uitwisselingen onthuld met een “gevaarlijk onveilige” beveiliging: de Lykke uitwisseling en Hubdex.

Lykke, welke uit Zwitserland afkomstig is, gaf hun API sleutels weer in een openbaar toegankelijke database. API sleutels kunnen gebruikt worden om rechtstreeks toegang tot een uitwisseling te verkrijgen om zo transacties uit te voeren. Deze manier van handelen laat veel ruimte over voor kwaadwillende figuren om cryptogeld naar hun eigen accounts over te zetten of om transacties tussen andere gebruikers te verstoren.

Bovendien werd ontdekt dat Lykke eveneens de privésleutels van haar klanten had onthuld. Privésleutels fungeren als wachtwoorden voor crypto wallets; dankzij deze beroerde beveiliging van Lykke had iedereen die maar op de juiste plaats keek toegang om zonder hun medeweten of toestemming het cryptogeld van een andere gebruiker uit te geven, te verhandelen of over te dragen.

Hoewel sommige klanten gebruik maakten van multi-sig wallets, waarbij er ten minste twee autorisaties nodig zijn alvorens het geld beschikbaar wordt gesteld, toonde Lykke’s blootgestelde database alsook de ‘redeem scripts’ plus privésleutels van deze wallets. Hiermee kunnen hackers met een beetje technische vaardigheid zo met hun cryptogeld knoeien.

CyberNews meldde dat de kennis van deze informatie een “directe toegang tot het geld van gebruikers gaf, wat betekent dat het absoluut mogelijk was om dat geld te stelen of gegevens te manipuleren.”

Lykke reageerde onmiddellijk op het rapport door de openbare database privé te maken en contact op te nemen met de getroffen klanten. De marktplaats legde uit dat de database enkel “als read-only beschikbaar was”.

Ze verzekerden CyberNews dat “er geen persoonlijke gegevens onthuld werden en fondsen verloren zijn gegaan”, plus dat ze aanvullende maatregelen namen om te voorkomen dat dergelijke situaties zich in de toekomst opnieuw zouden voordoen.

De Chinese markplaats Hubdex werd idem dito op de vingers getikt aangezien zij in een voor het publiek toegankelijke database 1,1 miljoen privésleutels vrijgaven. De mogelijkheid om direct wachtwoorden te wijzigen was evenzo beschikbaar, waardoor kwaadwillenden simpel op accounts naar keuze konden inloggen.

Bovendien had de uitwisseling de API en wallet sleutels met meerdere handtekeningen openbaar beschikbaar gemaakt, waardoor hackers op verschillende manieren de exchange konden exploiteren.

Een extra bron van zorg was de omvang van de persoonlijke gegevens die Hubdex heeft vrijgegeven. Aangezien cryptogeld marktplaatsen verplicht zijn om Know Your Customer (KYC) gegevens als onderdeel van regelgeving te verzamelen, om zo misbruik van digitale activa te voorkomen, waren de officiële identiteitsbewijzen, namen en adressen van gebruikers direct voor het publiek beschikbaar.

De database is inmiddels offline gehaald nadat CyberNews met het Chinese National Computer Network Emergency Response Technical Team (CERT) contact had opgenomen, omdat de pogingen om direct met de marktplaats contact op te nemen mislukten.

Met meer dan 19.000 cryptogeld marktplaatsen wereldwijd is er een grote bezorgdheid omtrent de cyberbeveiliging plus regelgeving van de databases op deze crypto marktplaatsen. Deze bedreiging is er niet alleen voor de crypto wallets van gebruikers, maar tevens voor hun identiteit en persoonlijke