Разработанные меры направлены на обеспечение безопасности и предотвращение возможности взлома платформы.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЛАТФОРМЫ
Холодный кошелек
На холодном хранении Bitfinex находится около 99,5% средств пользователей, что означает не только нахождение средств в оффлайне, но и обеспечение безопасности за счет системы мультиподписей, то есть для запуска транзакции необходимо подтверждение 4 из 7 аппаратных модулей безопасности, находящихся под управлением нескольких членов менеджмента компании. В случае взлома учетной записи администратора согласия одного аппаратного модуля безопасности будет недостаточно для запуска транзакции с холодного кошелька. Таким образом, получение доступа к достаточному количеству устройств для дальнейшего взлома холодного кошелька является практически невозможным.
Горячий кошелек
На нашем горячем кошельке находится около 0,5% средств пользователей, потребность в которых возникает при выводе средств с платформы. Для пополнения горячего кошелька необходимо подтверждение 4 из 7 аппаратных модулей безопасности, которые могут инициировать перенос средств с холодного кошелька на горячий кошелек.
Структура данных
Bitfinex был перенесен на новый сервер данных и командой безопасности была проведена всесторонняя проверка стека, включая глубокий анализ программного кода.
Защита от DDoS
- Обеспечение сбалансированности нагрузки и автоматизация переключения между серверами для повышения производительности системы
- Обнаружение вредоносного трафика в режиме реального времени для блокировки запросов злоумышленных серверов
- Автоматизация встроенных систем распознавания атак для снижения времени распознавания и увеличения времени работы системы
- Обеспечение конфиденциальности и производительности за счет зашифрованного соединения с HTTPS TLS 1.3
Стандартная процедура
Регулярное проведение испытаний на возможность проникновения в систему выполняется для сохранения целостности наших систем в условиях бесчисленных сценариев атаки.
- Последняя версия системы Linux для работы платформы
- Ежедневное автоматическое шифрование резервных копий баз данных на серверах, имеющих различное местоположение
- Хранилище зашифрованных паролей пользователей
Команда безопасности Bitfinex продолжает работу над проверкой реализации протокола на всех уровнях платформы для поддержки устойчивой к атакам системы, в дальнейшем также планируются регулярные проверки внешней безопасности.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПОЛЬЗОВАТЕЛЕЙ
Bitfinex создает условия для обеспечения высокого уровня безопасности пользователей, в связи с чем мы призываем всех пользователей обратить внимание на наши условия Greenlane Conditions, которые позволят существенно повысить уровень личной безопасности пользователей, сократить количество подтверждений для депозитов в криптовалюте и автоматизировать процесс вывода средств.
Двухфакторная аутентификация (2FA)
В настоящее время реализованы следующие механизмы двухфакторной аутентификации:
- Универсальная двухфакторная аутентификация с помощью USB-токена FIDO (U2F)
- Google-аутентификация с помощью приложений на Android и iOS
Установление двухфакторной аутентификации обеспечивает второй уровень безопасности для борьбы со злоумышленниками и подтверждения вывода средств, изменения пароля, создания ключа API и входа в систему.
Кроме того, в целях безопасности все учетные записи, не установившие двухфакторную аутентификацию (2ФА), получат письмо на электронную почту для входа в учетную запись.
ПРИМЕЧАНИЕ: Двухфакторная SMS аутентификация, предоставляемая Twilio, больше не поддерживается на Bitfinex.
Если у вас есть доступ к двухфакторной аутентификации SMS, вы можете отключить ее, перейдя на страницу “Безопасность", и перейти к использованию двух других форм двухфакторной аутентификации для обеспечения безопасности вашей учетной записи.
Если у вас нет доступа к номеру телефона, зарегистрированному в Twilio, вы можете сбросить 2ФА, используя следующую ссылку: https://www.bitfinex.com/reset/2fa. В случае, если вы не соответствуете приведенным выше критериям для самостоятельного сброса настроек, обратитесь за помощью к нашей команде поддержки.
Определение активности сессии
Данная опция предполагает, что каждые 10 минут система отправляет ping-запросы браузеру для сохранения активности сессии. В случае отключения данной функции при отсутствии активности сессии в течение 30 минут, учетная запись пользователя будет автоматически выведена из системы.
Получение электронных писем при входе в систему
Пользователь получает письма на электронную почту при каждом входе в учетную запись. Письмо содержит информацию с IP адресом аутентифицированного пользователя и ссылку с возможностью блокировки учетной записи в случае подозрения на наличие вредоносной активности.
Изменение IP адреса
Если IP адрес, используемый для доступа к учетной записи пользователя, изменяется в ходе активной сессии, то все активные сессии будут аннулированы и учетная запись пользователя будет выведена из системы. Данная мера предотвращает возможную вредоносную активность.
Белый список IP адресов
Данная опция позволяет получить доступ к учетной записи по указанному в белом списке одному IP адресу или диапазону IP адресов. При невозможности входа с помощью IP адреса, указанного в белом списке, доступ к учетной записи будет невозможен.
История авторизаций
Каждый вход в учетную запись пользователя сохраняется системой, история авторизаций доступна пользователям в личном кабинете.
Ключ доступа к API
Создайте ключи API c расширенными правами чтения/записи для каждой функции.
Шифрование электронной почты с помощью OpenPGP
Pretty Good Privacy (PGP) - это программа шифрования и дешифрования данных, обеспечивающая криптографическую конфиденциальность и аутентификацию для переписки, на основе системы открытых ключей.
Мониторинг снятия средств по IP адресу
Если снятие средств запрашивается с нового IP адреса, то пользователю учетной записи будет направлено письмо на электронную почту с просьбой подтвердить снятие средств. Период “недоверия” к новому IP адресу составляет 24 часа, то есть, если вывод средств запрашивается через 24 часа после изменения IP адреса, то дополнительное подтверждение не требуется.
Приостановление вывода средств на 24 часа при использовании нового IP адреса
Если вход в учетную запись осуществляется с нового IP адреса, то возможность вывода средств приостанавливается на 24 часа, а также пользователь получит уведомление на электронную почту с возможностью блокировки учетной записи.
Проверка на вывод средств пользователем
Добавьте секретную фразу к изображению для вывода средств. При добавлении данной опции пользователь будет видеть защищенную от фальсификации картинку, подтверждающую детали транзакции по выводу средств и секретную фразу. Данная опция свидетельствует о том, что информация о выводе денежных средств не была перехвачена вредоносным программным обеспечением или взломщиком, подключившемуся к каналу связи между контрагентами.
Блокировка/отключение адресов вывода средств
Укажите конкретные адреса, на которые будет осуществлен вывод средств по каждой валюте, или же отключите данную функцию. Изменение или отключение блокировки адреса требует подтверждения по электронной почте и сопровождается 5-дневным приостановлением операций по выводу средств.
Обнаружение подозрительной активности
Подозрительная активность автоматически определяется нашей системой и при ее наличии вручную рассматривается членами команды по безопасности. Данный процесс требует участия пользователей, в том числе в части изменения пароля, запросов на удаление двухфакторной аутентификации, геолокации и особенностей аппаратного/программного обеспечения устройств.
Наша команда по безопасности отслеживает типичные схемы, которые могут привести к изменению баланса активов пользователей, в частности, вывод всех средств, запросы на изменение имени пользователя, электронной почты и адресов, на которые осуществляется вывод средств.
Данные способы обеспечения безопасности разработаны в качестве мер должной осмотрительности при использовании платформы Bitfinex и никоим образом не обязывают пользователей строго руководствоваться ими.