امنیت پلتفرم های مالی و پیش بینی مبتنی بر بلاک چین، وابستگی مستقیمی به زیرساخت های احراز هویت دارد. اخیرا پلتفرم پلی مارکت با یک حادثه امنیتی مواجه شد که منجر به دسترسی غیرمجاز به حساب برخی کاربران و از دست رفتن دارایی های دیجیتال آنها شد. این اتفاق بار دیگر اهمیت انتخاب ارائه دهندگان امن شخص ثالث را برجسته کرد.
علت نشت امنیتی در پلی مارکت
بر اساس اعلام رسمی پلی مارکت، منشا این حادثه یک نقص امنیتی در سرویس احراز هویت شخص ثالث بوده است. این نقص باعث شد مهاجمان بتوانند بدون مجوز وارد حساب کاربران شوند.
- مشکل از زیرساخت داخلی پلی مارکت نبوده است.
- نقص در لایه احراز هویت خارجی رخ داده است.
- دسترسی غیرمجاز به برخی حساب ها گزارش شده است.
بی اثر بودن تایید دو مرحله ای برای برخی کاربران
بررسی ها نشان می دهد تعدادی از کاربران با وجود فعال بودن تایید دو مرحله ای نیز متضرر شده اند. این موضوع نگرانی هایی جدی درباره امنیت پیاده سازی احراز هویت ایجاد کرده است.
- دریافت هشدارهای ورود مشکوک
- انتقال یا تخلیه موجودی حساب
- ناتوانی تایید دو مرحله ای در جلوگیری از حمله
نقش احتمالی ماجیک لبز در این حادثه
اگرچه پلی مارکت نام سرویس آسیب پذیر را اعلام نکرد، اما کاربران در شبکه های اجتماعی از ماجیک لبز به عنوان ارائه دهنده احراز هویت ایمیلی نام برده اند. ماجیک لبز یکی از سرویس های شناخته شده در حوزه ورود بدون رمز عبور است.
- استفاده از احراز هویت مبتنی بر ایمیل
- وابستگی بسیاری از پلتفرم های وب ۳ به این سرویس
- عدم تایید رسمی نقش ماجیک لبز تا این لحظه
واکنش رسمی پلی مارکت
نماینده پلی مارکت در دیسکورد اعلام کرد که مشکل شناسایی و برطرف شده و تنها تعداد محدودی از کاربران تحت تاثیر قرار گرفته اند. با این حال، جزئیات بیشتری منتشر نشده است.
- رفع نقص امنیتی اعلام شده است.
- تعداد کاربران آسیب دیده مشخص نیست.
- میزان دارایی های سرقت شده اعلام نشده است.
نتیجه گیری
حادثه امنیتی پلی مارکت نشان می دهد حتی پلتفرم های مطرح نیز در صورت وابستگی به سرویس های شخص ثالث در معرض ریسک قرار دارند. شفافیت بیشتر، ممیزی امنیتی مداوم و استفاده از روش های چند لایه احراز هویت می تواند از تکرار چنین رویدادهایی جلوگیری کند و اعتماد کاربران را حفظ نماید.