BTC Markets, позиционируемая как крупнейшая австралийская криптовалютная биржа, раскрыла имена и адреса электронной почты всех клиентов — хотя и партиями по 1000 штук — во вторник днем после того, как ошибка в отправке взрывной электронной почты осталась незамеченной.
Компания “от всего сердца извинилась” за ошибку и “настоятельно рекомендовала” клиентам, у которых еще не было двухфакторной аутентификации на своих счетах, включить ее.
Стандартный экран входа в систему BTC Markets использует адрес электронной почты клиента в качестве имени пользователя.
Клиенты биржи сразу же выразили обеспокоенность тем, что разоблачение составило список имен пользователей, которые могли бы открыть тех, у кого слабые настройки безопасности учетной записи, для потенциального компрометации.
Генеральный директор BTC Markets Кэролайн Боулер заявила в Twitter, что «пострадали все владельцы счетов.»
Биржа утверждает, что у нее «более 270 000» клиентов, «которые торговали более чем на $10,5 млрд».
Но поскольку он отправлял электронную почту партиями “менее 1000” писем — вероятный предел отправки, установленный его сторонним поставщиком услуг электронной почты,-максимальное количество имен и адресов электронной почты, выставленных в одном полученном электронном письме, также составляло 1000.
“[Мы] используем внешнюю систему для отправки электронных писем по всему клиенту”,-говорится в сообщении BTC Markets в Facebook.
“Мы использовали эту систему без инцидентов в течение ряда лет.
“Наш обычный процесс также заключается в отправке тестовых электронных писем.
“Однако сегодня наше тестирование не выявило, что образцы адресов электронной почты в пакете были добавлены к одному и тому же письму, а не отправлены по отдельности.”
BTC Markets сказал, что пакетные отправки происходили в быстрой последовательности и поэтому не могли быть остановлены, когда ошибка была замечена.
“Процесс проходил очень быстро, поэтому остановить отправку партии после того, как ошибка была осознана, было невозможно”, — сказали в компании.
BTC Markets заявила, что ее биржевая платформа “остается безопасной и незатронутой”.
“Наш внешний коммуникационный процесс не взаимодействует с нашей внутренней системой, и никакие данные пароля не были раскрыты”, — сказал он.
Компания добавила, что будет самостоятельно сообщать об инциденте в Управление австралийского комиссара по информации (OAIC) “и полностью соблюдать требования к отчетности о нарушении данных” в Австралии.
“Кроме того, будет проведен внутренний обзор и дополнительная строгость в отношении безопасности данных и обучения”, — добавили в компании.