Como Crypto Economy informó el 1 de noviembre, BitMEX filtró accidentalmente correos electrónicos de usuarios al olvidarse de usar copia oculta (bcc) en un correo electrónico masivo.
En una publicación de blog publicado por BitMEX el 4 de noviembre, la compañía, en respuesta al accidente, aclara que no se divulgó ninguna otra información, excepto las direcciones de correo electrónico y que ninguno de los sistemas centrales de BitMEX estaba en riesgo en ningún momento.
Según la compañía, el viernes 1 de noviembre a las 06:00 UTC, los usuarios registrados en BitMEX recibieron un correo electrónico que contenía una gran cantidad de direcciones de correo electrónico de otros usuarios en el campo «Para:». Un miembro de la comunidad preocupado temía que la modificación podría hacer que los títulos de cuentas de BitMEX sean objetivos vulnerables ante posibles piratas informáticos.
La empresa respondió:
“Esta fue una actualización general por correo electrónico para nuestros usuarios sobre los próximos cambios en la ponderación de nuestros índices. Como resultado, muchas direcciones de correo electrónico de usuarios de BitMEX, incluida una gran cantidad de direcciones inactivas, se revela a otros usuarios en pequeños lotes. No se divulgó ninguna otra información».
En la publicación, BitMEX admitió que la reciente filtración de correo electrónico fue el resultado de una falla en el servicio interno de correo electrónico masivo de la compañía. El intercambio de cifrado dijo que solo enviaban correos electrónicos electrónicos masivos a todos los usuarios en una rara ocasión, pero la actualización de los Índices BitMEX era muy importante ya que afectaría el precio de todos sus productos, por lo que consideraría necesario informar a los usuarios al respecto.
Según el intercambio, el envío de correos electrónicos masivos es un proceso muy complejo y difícil de llevar a cabo, especialmente cuando es una escala global. El intercambio tiene su propio sistema para lidiar con los problemas asociados con el envío masivo de correos electrónicos, pero nunca se usó desde 2017.
BitMEX descubrió que la solicitud de envío inicial solicitada se retrasó hasta 10 horas en completo. El intercambio detallado además:
“Para manejar esto, la herramienta se reescribió rápidamente para enviar llamadas individuales a la API SendGrid en lotes de 1,000 direcciones. Desafortunadamente, debido a las limitaciones de tiempo, esto no se alguna vez a nuestro proceso normal de control de calidad. No se entendió de inmediato que la llamada a la API crearía un campo literal «Concatenado», que filtra las direcciones de correo electrónico de los clientes. Tan pronto como nos dimos cuenta, de inmediato evitamos que se enviaran más correos electrónicos y abordamos la causa raíz ”.
El 1 de noviembre, el identificador de Twitter de BitMEX también fue atacado justo después del accidente de fuga de correo electrónico. Pero el intercambio dijo que el pirateo de Twitter no estaba relacionado con este problema y la cuenta estaba bajo control después de 6 minutos.
