Команда безопасности Bitfinex постоянно совершенствует наши комплексные меры безопасности, улучшает процессы аудита, а также уменьшает возможности атаки на нашу инфраструктуру.
Безопасность вашего аккаунта определяется двумя факторами:
1. Меры по обеспечению безопасности платформы; и
2. Меры по обеспечению безопасности аккаунтов пользователей.
Обеспечение безопасности платформы
Безопасность платформы — это меры, реализуемые платформой Bitfinex, для защиты средств и конфиденциальной информации от злоумышленников.
Холодный кошелек
Холодный кошелек, также известный как автономный (оффлайн) кошелек, представляет собой кошелек, не подключенный к Интернету, что позволяет защитить средства от угрозы взлома.
На холодном хранении Bitfinex находится около 99,5% средств пользователей, что означает не только нахождение средств в оффлайне, но и обеспечение безопасности за счет системы мультиподписей. Для запуска транзакции необходимо подтверждение нескольких аппаратных модулей безопасности (HSM), находящихся под управлением членов менеджмента компании, рассредоточенных по всему миру.
В случае взлома учетной записи администратора согласия одного аппаратного модуля безопасности будет недостаточно для запуска транзакции с холодного кошелька.
Таким образом, получение доступа к достаточному количеству устройств для дальнейшего взлома холодного кошелька является практически невозможным.
Горячий кошелек
Горячий кошелек — это кошелек виртуальной валюты, доступный через Интернет и облегчающий криптовалютные транзакции.
На нашем горячем кошельке находится около 0,5% средств пользователей, потребность в которых возникает при выводе средств с платформы. Для пополнения горячего кошелька необходимо подтверждение нескольких аппаратных модулей безопасности, которые могут инициировать перенос средств с холодного кошелька на горячий кошелек.
Структура данных
Bitfinex был перенесен на новый сервер данных и командой безопасности была проведена всесторонняя проверка стека, включая глубокий анализ программного кода.
Защита от DDoS
Распределенная атака типа «отказ в обслуживании» (DDoS) — это злонамеренная попытка нарушить регулярный трафик к целевому серверу, службе или сети путем переполнения цели атаки или окружающей ее инфраструктуры интернет-трафиком.
Предотвращение DDoS-атак на Bitfinex включает в себя следующее:
- Обеспечение сбалансированности нагрузки и автоматизация переключения между серверами для повышения производительности системы
- Обнаружение вредоносного трафика в режиме реального времени для блокировки запросов злоумышленных серверов
- Автоматизация встроенных систем распознавания атак для снижения времени распознавания и увеличения времени работы системы
- Обеспечение конфиденциальности и производительности за счет зашифрованного соединения с HTTPS TLS 1.3
Стандартная процедура
Выполняется регулярное проведение испытаний на возможность проникновения в систему для сохранения целостности наших систем в условиях бесчисленных сценариев атаки.
- Последняя версия системы Linux для работы платформы
- Ежедневное автоматическое шифрование резервных копий баз данных на серверах, имеющих различное местоположение
- Хранилище зашифрованных паролей пользователей
Команда безопасности Bitfinex продолжает работу над проверкой реализации протокола на всех уровнях платформы для поддержки устойчивой к атакам системы. В дополнение, также регулярно проводятся проверки внешней безопасности.
Соответствие требованиям по контрольным процедурам в сервисных организациях
Bitfinex успешно прошла аудит по контрольным процедурам в сервисных организациях - Service Organization Control for Service Organizations (SOC 2) Type 1 - первый этап высочайшего уровня соответствия безопасности, который может продемонстрировать организация. Проведенный аудит подтверждает, что методы, политики, процедуры и операции Bitfinex в области информационной безопасности соответствуют следующим принципам доверенной службы SOC 2: безопасность, доступность и конфиденциальность.
Более подробную информацию вы можете найти в нашей специальной статье: Bitfinex has completed the SOC 2 Type 1 Compliance.
Обеспечение безопасности пользователей
Bitfinex создает условия для обеспечения высокого уровня безопасности пользователей. Для защиты вашей учетной записи можно предпринять следующие действия.
Примечание: Безопасность вашей учетной записи зависит от применяемых вами мер безопасности.
Мы призываем всех пользователей обратить внимание на наши условия Greenlane Conditions, которые позволят существенно повысить уровень личной безопасности пользователей, сократить количество подтверждений для депозитов в криптовалюте и автоматизировать процесс вывода средств. Вы можете получить доступ к своей странице безопасности здесь.
Двухфакторная аутентификация (2FA)
Прежде чем начать работу со своей учетной записью, необходимо включить двухфакторную аутентификацию (2FA).
В настоящее время реализованы следующие механизмы двухфакторной аутентификации:
- Универсальная двухфакторная аутентификация с помощью USB-токена FIDO (U2F)
- Google-аутентификация с помощью приложений на Android и iOS
Установление двухфакторной аутентификации обеспечивает второй уровень безопасности для борьбы со злоумышленниками и подтверждения вывода средств, изменения пароля, создания ключа API и входа в систему.
При создании учетной записи вам будет необходимо включить двухфакторную аутентификацию (2FA). Если вы пропустите этот шаг во время настройки учетной записи, вам все равно потребуется включить 2FA, чтобы получить доступ к функциям вашей учетной записи Bitfinex.
Важно: Двухфакторная SMS аутентификация, предоставляемая Twilio, больше не поддерживается на Bitfinex. Если у вас есть доступ к двухфакторной аутентификации SMS, вы можете отключить ее, перейдя на страницу “Безопасность", и перейти к использованию двух других форм двухфакторной аутентификации для обеспечения безопасности вашей учетной записи. Для сброса 2FA, выполните действия, описанные в статье Как сбросить 2FA на Bitfinex.
Позволить сессии завершаться
Данная опция предполагает, что каждые 10 минут система будет отправлять ping-запросы браузеру для сохранения активности сессии. В случае включения данной функции при отсутствии активности сессии в течение 30 минут, учетная запись пользователя будет автоматически выведена из системы.
Данная мера предотвращает возможность перехвата сессии.
Получение электронных писем при входе в систему
Пользователь получает письма на электронную почту при каждом входе в учетную запись. Письмо содержит информацию с IP адресом аутентифицированного пользователя и ссылку с возможностью блокировки учетной записи в случае подозрения на наличие вредоносной активности.
Изменение IP адреса
Если IP адрес, используемый для доступа к учетной записи пользователя, изменяется в ходе активной сессии, то все активные сессии будут аннулированы и учетная запись пользователя будет выведена из системы.
Данная мера предотвращает возможность перехвата сессии.
Белый список IP адресов
Данная опция позволяет получить доступ к учетной записи по указанному в белом списке одному IP адресу или диапазону IP адресов. Всем, у кого нет доступа к IP-адресам из белого списка, будет отказано в доступе к учетной записи.
История входов
Каждый вход в учетную запись пользователя сохраняется системой и может быть проверен вручную.
Чтобы просмотреть историю входов, перейдите в Управление аккаунтом > Отчеты, а затем выберите История входов в меню справа.
Ключ доступа к API
Создайте ключи API c расширенными правами чтения/записи для каждой функции.
Шифрование электронной почты с помощью OpenPGP
Pretty Good Privacy (PGP) - это программа шифрования и дешифрования данных, обеспечивающая криптографическую конфиденциальность и аутентификацию для переписки, на основе системы открытых ключей.
Включение этой опции приведет к шифрованию всех исходящих писем администратора Bitfinex для вашей учетной записи с использованием вашего открытого ключа.
Мониторинг снятия средств по IP адресу
При запросе снятия средств с нового IP адреса, владельцу учетной записи с условиями Greenlane будет направлено письмо на электронную почту с просьбой подтвердить транзакцию.
Примечание: Период “недоверия” к новому IP адресу составляет 24 часа.
Если ваша учетная запись не соответствует условиям Greenlane, вы будете получать подтверждения по электронной почте для каждого запроса на вывод средств. Подробнее об опции Greenlane можно узнать здесь.
Приостановление вывода средств на 24 часа при использовании нового IP адреса
Если вход в учетную запись осуществляется с нового IP адреса, возможность вывода средств приостанавливается на 24 часа. Также, пользователь получит уведомление на электронную почту с возможностью блокировки учетной записи.
Проверка на вывод средств пользователем
По умолчанию при подаче запроса на вывод средств будет отображаться защищенное от фальсификации изображение.
Добавив собственное сообщение, вы можете дополнить изображение подтверждения вывода секретной фразой. При добавлении данной опции пользователь будет видеть защищенную от фальсификации картинку, подтверждающую детали транзакции по выводу средств и секретную фразу.
Данная опция свидетельствует о том, что информация о выводе денежных средств не была перехвачена вредоносным программным обеспечением или взломщиком, подключившемуся к каналу связи между контрагентами.
Блокировка/отключение адресов вывода средств
Укажите конкретные адреса, на которые будет осуществлен вывод средств по каждой валюте, или же отключите выводы для определенной валюты. Изменение или отключение блокировки адреса требует подтверждения по электронной почте и сопровождается 5-дневным приостановлением операций по выводу средств.
Обнаружение подозрительной активности
Подозрительная активность автоматически определяется нашей системой и при ее наличии вручную рассматривается членами команды по безопасности. Данный процесс требует участия пользователей, в том числе в части изменения пароля, запросов на удаление двухфакторной аутентификации, геолокации и особенностей аппаратного/программного обеспечения устройств.
Наша команда по безопасности отслеживает типичные схемы, которые могут привести к изменению баланса активов пользователей, в частности, вывод всех средств, запросы на изменение имени пользователя, электронной почты и адресов, на которые осуществляется вывод средств.
Эти методы не предназначены для наложения ограничений на активность учетной записи; скорее, они предназначены для дополнительной защиты при взаимодействии пользователей с платформой Bitfinex.
Важно: Вы также можете просмотреть Политику безопасности Bitfinex для получения дополнительной информации.
Если у вас есть какие-либо вопросы касательно безопасности вашего аккаунта, пожалуйста, свяжитесь с командой поддержки Btifinex.