Los usuarios de BitMEX, un intercambio comercial de margen de criptomonedas basado en Seychelles, corren el riesgo de ataques de phishing tras la exposición de sus correos electrónicos debido a un error involuntario con un correo electrónico de distribución masiva (email blast).
La plataforma de intercambio supuestamente utilizó el comando de copia al carbón (‘cc’) en lugar de la copia al carbón oculta (‘cco’) para enviar una notificación por correo electrónico el viernes 1 de noviembre, revelando varios correos electrónicos de sus clientes a otros clientes de BitMEX. En una actualización del blog el viernes, BitMEX escribió que:
Somos conscientes de que algunos de nuestros usuarios han recibido un correo electrónico general de actualización para los usuarios hoy, que contenía las direcciones de correo electrónico de otros usuarios.
La comunidad de Twitter no ha reaccionado demasiado amablemente a su error y varios se han vuelto críticos con los procesos y el personal de BitMEX. El abogado de cifrado Jake Chervinsky escribió en Twitter:
BitMEX acaba de exponer a sus usuarios de la manera más escandalosamente incompetente que se pueda imaginar: Olvidarse de usar una copia oculta en el correo electrónico masivo. Alguien ya debe estar limpiando su escritorio.
Larry Cermak, otra mente legal criptográfica escribió:
BitMEX simplemente expuso a miles de sus clientes enviando un correo electrónico masivo y sin agregar destinatarios a CCO. Buena suerte recuperándote de una cagada de tal magnitud.
BitMEX reaccionó rápidamente una vez que descubrieron el error cancelando cualquier correo electrónico pendiente. En la declaración del viernes, el intercambio declaró:
Nuestro equipo ha actuado de inmediato para contener el problema y estamos tomando medidas para comprender el alcance del impacto. Tenga la seguridad de que estamos haciendo todo lo posible para identificar la causa raíz del fallo y nos pondremos en contacto con los usuarios afectados por el problema.
En consecuencia, parece que el error ya puede haber causado un riesgo en todo el sistema. Poco después de la filtración de correo electrónico del viernes por la mañana, se creó una nueva cuenta de Twitter denominada «Bitmexdatabaseleak» con el único propósito de exponer y documentar (doxxing) a los usuarios de BitMEX. La cuenta ha llegado a reclamar el conocimiento de las primeras cuatro cuentas de usuario de BitMEX que, según afirma, pertenecen al personal del intercambio. «La ID de usuario 3 pertenece a Arthur Hayes», en uno de los tweets se lee, haciendo referencia al CEO de BitMEX.
En lo que parece ser un desafortunado giro de los acontecimientos, la cuenta oficial de Twitter de BitMEX también parece haber sido pirateada el mismo día de la filtración. Es posible que los piratas informáticos hayan logrado enviar un par de tweets que se han eliminado desde entonces. El primer tweet decía «Toma tus BTC y corre. Último día para retiradas», mientras que el segundo simplemente decía «Hackeado». BitMEX ha confirmado desde entonces el hack de Twitter diciendo en un tweet que:
Nos gustaría asegurarles a nuestros usuarios que, si bien los trolls pueden apuntar a nuestra cuenta de Twitter, puede estar seguro de que todos los fondos están seguros.
Desde entonces, BitMEX ha deshabilitado el soporte para el retiro de activos, especialmente para las cuentas que han cambiado sus contraseñas después del error del viernes por la mañana. Hasta el momento no ha habido informes sobre fondos robados. Para estar seguro, el intercambio recomienda cambios de contraseña de seguridad de rutina. Además, el intercambio se disculpa con sus usuarios diciendo en un comunicado:
La privacidad de nuestros usuarios es una prioridad y lamentamos la preocupación que esto ha causado a nuestros usuarios.