FTX lưu giữ và giao dịch hàng tỷ USD tiền mã hóa nhưng không có bất kỳ nhân viên an ninh mạng chuyên trách nào.
Từng là sàn giao dịch tiền mã hóa lớn thứ 2 thế giới, FTX đã sụp đổ trong một vụ bê bối tài chính vào tháng 11/2022. Sau sự kiện này, hàng loạt vấn đề bên trong đế chế crypto do Sam Bankman-Fried cũng bị phơi bày. Dường như “những đứa trẻ Bahamas” không quan tâm gì đến bảo mật.
Theo đánh giá của Gizmodo, ngoài việc quản lý, sử dụng tài chính như một trò đùa, sàn giao dịch tiền mã hóa FTX còn có vấn đề an ninh mạng thuộc vào loại “tệ nhất có thể tượng tượng ra”.
Không có nhân viên an ninh mạng
Đây là thông tin có thể gây sửng sốt cho bất kỳ ai, kể cả những người không làm việc trong ngành công nghệ. Mặc dù được giao nhiệm vụ bảo vệ hàng chục tỷ USD tiền mã hóa của khách hàng, FTX không có bất kỳ nhân viên an ninh mạng chuyên trách nào.
Theo hồ sơ Gizmodo tiếp cận được hôm 10/4, Sam Bankman-Fried không bao giờ bận tâm đến việc thuê một CISO (giám đốc an ninh thông tin) để quản lý rủi ro của doanh nghiệp. Thay vào đó, họ dựa vào 2 trong số các nhà phát triển phần mềm sẵn có của công ty, những người không được đào tạo chính thức về bảo mật và công việc của họ không thực sự ưu tiên bảo mật.
“Tập đoàn FTX không có CISO độc lập, không nhân viên được đào tạo hoặc có kinh nghiệm phù hợp với vai trò đó; không đánh giá rủi ro mạng, thực hiện kiểm soát bảo mật hoặc ứng phó với sự cố mạng trong thời gian thực”, hồ sơ tiết lộ.
Báo cáo khẳng định FTX loại bỏ hoàn toàn các biện pháp kiểm soát an ninh mạng, trong khi về bản chất, toàn bộ hoạt động kinh doanh của công ty này, gồm tài sản, cơ sở hạ tầng và tài sản trí tuệ, đều dựa trên mã máy tính và công nghệ.
Thực trạng thiếu nhân sự trình độ cao trong lĩnh vực an ninh mạng đang là vấn đề với nhiều doanh nghiệp. Việc này có thể được thông cảm với các công ty mới thành lập, chưa có đủ nhân sự hoặc thiếu khả năng tài chính để thuê chuyên gia.
Tuy nhiên, với FTX, sàn giao dịch được định giá lên đến 32 tỷ USD trước khi phá sản, việc có một nhân viên chuyên trách an ninh mạng là điều dễ dàng, đồng thời cũng là nhu cầu bức thiết.
Ngó lơ tiêu chuẩn bảo mật cơ bản
Theo Gizmodo, một điều “thực sự ngớ ngẩn” của FTX là không giữ tiền mã hóa của người dùng trong “kho lạnh”, phương pháp bảo mật tiêu chuẩn mà hầu hết sàn giao dịch đều tuyên bố tuân thủ.
Tiền mã hóa có thể được lưu trữ theo 2 cách riêng biệt. “Ví nóng” là tài khoản dựa trên phần mềm được kết nối với Internet trong khi “kho lạnh” là một hình thức lưu trữ ngoại tuyến, dựa trên phần cứng. Kho lạnh được xem là phương pháp lưu trữ an toàn hơn, ví nóng lại có nhiều rủi ro vì liên kết với web, dễ bị tấn công.
Quy trình bảo mật phổ biến của các công ty quản lý tài sản số là chỉ cất một lượng tiền mã hóa trong ví nóng, đủ để thanh khoản, trong khi phần còn lại giữ trong kho lạnh. Tuy nhiên, FTX không làm điều đó. Báo cáo cho biết họ giữ “hầu như tất cả” tài sản của khách hàng trong ví nóng.
“FTX chắc chắn nhận ra cách vận hành của một sàn giao dịch tiền mã hóa tiêu chuẩn, bởi vì khi được bên thứ 3 yêu cầu mô tả mức độ sử dụng kho lạnh, họ đã nói dối”, báo cáo nêu rõ, kèm theo trích dẫn về việc các quản lý của FTX, bao gồm cả Sam Bankman-Fried, tuyên bố giữ tài sản của người dùng trong kho lạnh.
FTX từng nói với các nhà đầu tư rằng để phù hợp với các phương pháp tốt nhất trong ngành, họ giữ một lượng nhỏ tiền mã hóa trong ví nóng, trong khi phần còn lại “lưu trữ ngoại tuyến trong máy tính xách tay được mã hóa, phân phối theo khu vực địa lý”.
Không mã hóa khóa bí mật, bỏ qua xác thực đa yếu tố
Một sự thật khác về bảo mật của FTX sẽ khiến nhiều người ngạc nhiên: giữ khóa bảo mật và cụm từ hạt giống của khách hàng trong các tài liệu văn bản gốc mà nhân viên có thể truy cập được.
Trong lĩnh vực tiền mã hóa, khóa (key) hoặc cụm từ hạt giống (seed phrase) là mật khẩu dẫn vào ví cá nhân của người dùng. Các tiêu chuẩn ngành buộc sàn giao dịch phải mã hóa thông tin đó để đảm bảo an toàn.
Với FTX, dường như các khóa có thể mở ví trị giá hàng chục triệu USD không được mã hóa, chỉ lưu lại ở dạng văn bản, nằm rải rác trong máy chủ AWS.
Theo báo cáo, đây là một phần của cách tiếp cận bảo mật “vô tổ chức”. Trong đó “các khóa riêng tư và cụm từ gốc được FTX.com, FTX.US và Alameda lưu trữ ở nhiều vị trí khác nhau trong môi trường máy tính của FTX trong một cách vô tổ chức, dùng nhiều phương pháp không an toàn và không có bất kỳ quy trình thống nhất hoặc tài liệu hướng dẫn nào”.
SBF và “nhóm hipster vui vẻ” của nhân vật này cũng không thực thi hiệu quả việc sử dụng xác thực đa yếu tố (MFA) – một hình thức bảo mật web rất cơ bản mà mọi người làm việc trong văn phòng đều biết.
Báo cáo cho rằng ban lãnh đạo của sàn giao dịch FTX “không triển khai một cách phù hợp ngay cả các biện pháp kiểm soát được chấp nhận rộng rãi nhất, liên quan đến quản lý danh tính và truy cập (IAM)”, bao gồm không sử dụng MFA cũng như dịch vụ đăng nhập một lần, một trong những phương pháp bảo mật tốt nhất trong ngành.