Đội ngũ Bảo mật Bitfinex liên tục cải thiện các biện pháp bảo mật từ đầu đến cuối, cải thiện quy trình kiểm tra và giảm bề mặt tấn công cho cơ sở hạ tầng của chúng tôi.
Tính bảo mật của tài khoản được xác định bởi hai yếu tố:
- Các biện pháp bảo mật nền tảng;
- Các biện pháp bảo mật tài khoản người dùng cá nhân.
Các biện pháp bảo mật nền tảng
Bảo mật nền tảng là các biện pháp được nền tảng Bitfinex triển khai nhằm bảo vệ vốn và thông tin nhạy cảm khác khỏi các tác nhân độc hại.
Ví lạnh
Ví lạnh, còn được gọi là ví ngoại tuyến, là ví không được liên kết với Internet nên có rủi ro bị xâm phạm thấp hơn nhiều.
Lưu trữ lạnh của chúng tôi nắm giữ khoảng 99,5% vốn người dùng trong ví ngoại tuyến, đa chữ ký, yêu cầu phê duyệt tất cả các giao dịch thông qua ba trong số năm mô-đun bảo mật phần cứng (HSM) do các thành viên nhóm quản lý được phân tán trên phạm vi quốc tế nắm giữ.
Trong trường hợp không mong đợi rằng một thành viên nhóm quản lý bị xâm phạm và buộc phải đăng nhập vào nền tảng, một HSM duy nhất sẽ không đủ để bắt đầu chuyển vốn.
Việc có đủ số lượng thiết bị này để cho phép truy cập lưu trữ lạnh là gần như không thể.
Ví nóng
Ví nóng là ví tiền tệ ảo có thể truy cập qua Internet và tạo điều kiện thuận lợi cho các giao dịch tiền mã hóa.
Ví nóng của chúng tôi chỉ giữ số lượng tiền cần thiết để hoàn tất giao dịch rút tiền trong hàng đợi, chiếm khoảng 0,5% tổng số vốn. Để bổ sung ví nóng, việc chuyển vốn từ ví lạnh sang ví nóng phải được bắt đầu bằng bốn trong số bảy HSM.
Cấu trúc dữ liệu
Bitfinex đã di chuyển sang máy chủ dữ liệu mới và đội ngũ bảo mật mở rộng của chúng tôi đã thực hiện kiểm tra toàn diện toàn bộ ngăn xếp, bao gồm phân tích chuyên sâu về tất cả mã nguồn và phần phụ thuộc.
Bảo vệ DDoS
Tấn công từ chối dịch vụ phân tán (DDoS) là nỗ lực độc hại nhằm làm gián đoạn lưu lượng truy cập thông thường đến một máy chủ, dịch vụ hoặc mạng mục tiêu bằng cách làm ngập mục tiêu hoặc cơ sở hạ tầng xung quanh của nó bằng lưu lượng truy cập Internet.
Trên Bitfinex, tính năng bảo vệ DDoS bao gồm:
- Cân bằng tải thông minh và định tuyến chuyển đổi dự phòng giữa các máy chủ để tăng hiệu suất;
- Phát hiện lưu lượng truy cập độc hại theo thời gian thực để chặn các yêu cầu máy chủ độc hại;
- Các biện pháp giảm thiểu nội tuyến tự động giúp giảm độ trễ và tăng thời gian hoạt động;
- Quyền riêng tư và hiệu suất hàng đầu thông qua các kết nối được mã hóa với HTTPS TLS 1.3.
Quy trình tiêu chuẩn
Kiểm tra thâm nhập được thực hiện thường xuyên để đảm bảo rằng hệ thống của chúng tôi vẫn an toàn trước vô số tình huống tấn công.
- Hệ thống Linux luôn cập nhật để lưu trữ nền tảng;
- Tự động sao lưu cơ sở dữ liệu được mã hóa hàng ngày tới nhiều vị trí bên ngoài trang web;
- Lưu trữ mật khẩu người dùng được mã hóa
Đội ngũ bảo mật của Bitfinex tiếp tục kiểm tra việc triển khai giao thức ở tất cả các cấp độ của nền tảng để duy trì môi trường về cơ bản là không thân thiện đối với một cuộc tấn công bất ngờ. Ngoài ra, đội ngũ bảo mật còn tiến hành kiểm tra bảo mật bên ngoài định kỳ.
Tuân thủ Kiểm soát Hệ thống và Tổ chức 2 Loại 1
Bitfinex đã hoàn tất Kiểm tra Kiểm soát Hệ thống và Tổ chức (SOC) 2 Loại 1, giai đoạn đầu tiên của mức độ tuân thủ bảo mật cao nhất mà một tổ chức có thể chứng minh. Quá trình kiểm tra đã thực hiện tuyên bố rằng các thực tiễn, chính sách, quy trình và hoạt động bảo mật thông tin của Bitfinex đáp ứng các Nguyên tắc Dịch vụ Tin cậy SOC 2 sau: sự an toàn, tính khả dụng và bảo mật thông tin.
Để biết thêm thông tin, vui lòng xem bài viết chuyên môn của chúng tôi: Bitfinex đã hoàn tất Tuân thủ SOC 2 Loại 1.
Các biện pháp bảo mật tài khoản người dùng cá nhân
Bitfinex cung cấp tổ hợp các biện pháp bảo mật mạnh mẽ do người dùng xác định. Bạn có thể thực hiện các thao tác sau để bảo vệ tài khoản của mình.
Lưu ý: Tài khoản của bạn chỉ an toàn khi bạn thực hiện các biện pháp bảo vệ.
Việc thực hiện một số biện pháp này không chỉ tăng đáng kể tính bảo mật cá nhân, mà còn giảm số lần xác nhận cần thiết đối với giao dịch nạp tiền mã hóa và ưu tiên các giao dịch rút tiền thông qua quá trình xử lý tự động. Chúng tôi khuyến khích bạn đọc kỹ Điều kiện Greenlane. Bạn có thể truy cập trang Bảo mật của mình tại đây.
Xác thực hai yếu tố (2FA)
Kích hoạt Xác thực hai yếu tố (2FA) là bắt buộc trước khi bạn có thể vận hành tài khoản của mình.
Bạn có thể triển khai các cơ chế sau của 2FA:
- Google Authenticator (trên các thiết bị Android và iOS)
- Khóa bảo mật vật lý sử dụng FIDO Universal 2nd Factor (U2F)
Việc kích hoạt 2FA sẽ thêm một lớp bảo vệ giữa kẻ tấn công và xác nhận rút tiền, thay đổi mật khẩu, tạo khóa API và thông tin đăng nhập.
Khi tạo tài khoản của mình, bạn phải kích hoạt Xác thực hai yếu tố (2FA). Nếu bạn bỏ qua bước này trong quá trình thiết lập tài khoản, bạn vẫn sẽ được yêu cầu kích hoạt 2FA để truy cập các tính năng của tài khoản Bitfinex.
Quan trọng: Dịch vụ 2FA qua SMS của Twilio từng khả dụng, hiện không còn được hỗ trợ trên Bitfinex. Nếu bạn có quyền truy cập vào 2FA qua SMS, bạn có thể vô hiệu hóa tính năng này bằng cách truy cập trang Bảo mật và bắt đầu sử dụng hai hình thức Xác thực hai yếu tố khác được chúng tôi hỗ trợ để bảo mật cho tài khoản của bạn. Nếu bạn muốn đặt lại 2FA, hãy làm theo các bước trong bài viết Cách đặt lại 2FA tại Bitfinex.
Duy trì phiên đang hoạt động
Khi bạn đăng nhập và không hoạt động, trình duyệt sẽ ping nền tảng 10 phút một lần để duy trì phiên. Nếu tùy chọn này bị vô hiệu hóa, phiên sẽ kết thúc sau 30 phút không hoạt động và tài khoản của người dùng sẽ tự động đăng xuất.
Điều này ngăn chặn hành vi chiếm quyền điều khiển phiên.
Gửi email khi đăng nhập
Mỗi lần có người đăng nhập vào tài khoản, bạn sẽ nhận được thông báo qua email. Email sẽ bao gồm địa chỉ IP của người dùng được xác thực và liên kết để đình chỉ tài khoản nếu bạn nghi ngờ có hành vi bất chính.
Phát hiện thay đổi địa chỉ IP
Nếu địa chỉ IP được sử dụng để truy cập vào tài khoản của bạn thay đổi theo bất kỳ yêu cầu nào, tất cả các phiên hiện tại sẽ bị mất hiệu lực ngay lập tức và tài khoản sẽ tự động đăng xuất.
Điều này ngăn chặn hành vi chiếm quyền điều khiển phiên.
Danh sách trắng địa chỉ IP
Hạn chế quyền truy cập tài khoản dựa trên địa chỉ IP. Bạn có thể thêm một hoặc nhiều địa chỉ IP cũng như dải IP vào danh sách trắng. Bất kỳ người nào không có quyền truy cập vào các địa chỉ IP trong danh sách trắng sẽ bị từ chối truy cập vào tài khoản.
Lịch sử đăng nhập
Mỗi lượt đăng nhập vào tài khoản của bạn sẽ được lưu và có thể được kiểm tra theo cách thủ công.
Để xem lịch sử đăng nhập, hãy truy cập Quản lý tài khoản > Báo cáo rồi chọn Đăng nhập từ menu bên phải.
Quyền đối với khóa API
Trên cơ sở từng tính năng, hãy tạo khóa API với các quyền đọc/ghi nâng cao.
Mã hóa email với OpenPGP
Pretty Good Privacy (PGP) là ứng dụng mã hóa và giải mã dữ liệu, cung cấp quyền riêng tư và xác thực bằng mật mã để trao đổi dữ liệu. Ứng dụng sử dụng một biến thể của hệ thống khóa công khai.
Kích hoạt tùy chọn này sẽ mã hóa tất cả các email quản trị viên Bitfinex gửi đi cho tài khoản của bạn bằng khóa công cộng.
Giám sát rút tiền bằng IP
Nếu giao dịch rút tiền được yêu cầu từ một địa chỉ IP mới, chủ tài khoản Greenlane sẽ nhận được email yêu cầu xem xét và xác minh giao dịch rút tiền này.
Lưu ý: Khoảng thời gian nghi ngờ thay đổi IP là 24 giờ.
Nếu tài khoản của bạn không phải là tài khoản Greenlane, bạn sẽ nhận được xác nhận qua email về mọi yêu cầu rút tiền. Bạn có thể tìm hiểu thêm về Greenlane tại đây.
Khóa giao dịch rút tiền trong 24 giờ khi sử dụng địa chỉ IP mới
Khi sử dụng địa chỉ IP mới để đăng nhập vào tài khoản, tất cả các giao dịch rút tiền sẽ bị hạn chế trong 24 giờ. Nếu bạn kích hoạt tính năng này, bạn sẽ được thông báo qua email đính kèm liên kết đóng băng tài khoản để xem xét hoạt động.
Kiểm tra rút tiền tùy chỉnh
Theo mặc định, hình ảnh chống giả mạo sẽ được hiển thị khi thực hiện yêu cầu rút tiền. Khi thêm tin nhắn tùy chỉnh, bạn có thể nâng cao hình ảnh xác nhận rút tiền bằng một cụm từ bí mật. Khi được kích hoạt, bạn sẽ thấy hình ảnh chống giả mạo có chứa cụm từ bí mật và xác thực các chi tiết cụ thể của giao dịch rút tiền.
Lớp bảo vệ bổ sung này đảm bảo rằng thông tin rút tiền của bạn không bị xâm phạm bởi phần mềm độc hại hay cuộc tấn công xen giữa.
Khóa/vô hiệu hóa địa chỉ rút tiền
Tạo một hoặc nhiều địa chỉ rút tiền duy nhất cho mỗi loại tiền hoặc vô hiệu hóa hoàn toàn giao dịch rút tiền đối với một loại tiền. Việc thay đổi hoặc vô hiệu hóa khóa địa chỉ cần phải có xác nhận qua email và bắt đầu lệnh rút tiền bị tạm hoãn tự động trong năm ngày trên tài khoản.
Phát hiện hoạt động đáng ngờ
Phát hiện hoạt động đáng ngờ vừa được tự động hóa bằng cơ sở hạ tầng bảo mật của chúng tôi, vừa được xem xét thủ công bởi đội ngũ bảo mật. Người dùng tham gia vào quá trình này bằng cách xem xét các hoạt động như đặt lại mật khẩu, yêu cầu xóa 2FA, định vị vị trí địa lý và chi tiết về phần cứng/phần mềm của người dùng.
Đội ngũ bảo mật của chúng tôi giám sát các mô hình hoạt động và nhận diện những sai lệch có thể thay đổi đáng kể trạng thái số dư tài khoản của người dùng, chẳng hạn như yêu cầu rút tiền đối với toàn bộ tài khoản, yêu cầu thay đổi tên người dùng, địa chỉ email liên quan và địa chỉ rút tiền.
Các phương thức này không nhằm mục đích áp đặt hạn chế lên hoạt động tài khoản; thay vào đó, chúng đóng vai trò như các biện pháp bảo vệ bổ sung trong khi người dùng tương tác với nền tảng Bitfinex.
Quan trọng: Bạn cũng có thể xem Chính sách bảo mật của Bitfinex để biết thêm thông tin.
Nếu bạn có bất kỳ câu hỏi nào về tính bảo mật tài khoản của bạn, vui lòng liên hệ với Bitfinex CSKH để được hỗ trợ.