Babala mula kay Jameson Lopp
Ang kilalang developer ng Bitcoin, si Jameson Lopp, ay nanawagan sa mga may-ari ng cryptocurrency na magpatibay ng mahigpit na “zero trust” na diskarte sa lahat ng papasok na komunikasyon matapos matuklasan ang isang kahinaan sa imprastruktura ng Google.
Phishing Scheme
Ang babala ay sumunod sa paglitaw ng isang sopistikadong phishing scheme na umaabuso sa isang lehitimong Google form na ginagamit para sa mga kahilingan sa backup na contact. Dahil ang notification ay ipinapadala mula sa opisyal na domain ng kumpanya, pinapayagan ng mga security filter na direktang makapasok ito sa inbox ng mga biktima.
Sinusulit ng mga umaatake ang pangalan na field sa pamamagitan ng paglalagay ng isang napakalaking bloke ng teksto na biswal na nagtutulak sa tunay na nilalaman ng sistema pababa, habang inilalagay ang isang pekeng babala sa seguridad at phishing link sa itaas ng email. Ang tiwala ng gumagamit ay higit pang minamanipula ng katotohanan na ang mapanlinlang na website ay naka-host sa opisyal na platform ng Google Sites.
Limang Hindi Dapat Pagkatiwalaan na Channel
Batay sa insidenteng ito, tinukoy ni Lopp ang limang pangunahing channel ng komunikasyon na hindi na dapat pagkatiwalaan para sa mga papasok na mensahe:
- Tawag sa telepono
- SMS
- Messengers
- Any ibang panlabas na notification
Huwag magtiwala sa mga email, tawag sa telepono, SMS, chat messages, at anumang papasok na komunikasyon! Anumang mensahe na nagsasabing may problema sa seguridad sa isang account na kailangang agarang ayusin ay dapat ituring na kahina-hinala.
BIP-361 Proposal
Interesante, kamakailan lamang ay naging co-author si Lopp ng kontrobersyal na BIP-361 proposal na dinisenyo upang protektahan ang Bitcoin mula sa mga hinaharap na quantum computer, kabilang ang mga potensyal na binuo ng Google. Ang dokumento ay nagmumungkahi ng pagbabawal sa mga transaksyon mula sa mga legacy address sa loob ng tatlong taon at ganap na pagyeyelo ng hanggang 1.7 milyong BTC sa mga wallet na konektado kay Satoshi Nakamoto sa loob ng limang taon kung ang kanilang mga may-ari ay nabigong i-upgrade ang mga cryptographic signature.
Ang inisyatibong ito ay nag-trigger ng isang matinding alon ng kritisismo at mga akusasyon ng paglabag sa mga prinsipyo ng decentralization, na higit pang nagpapalalim ng mga dibisyon sa loob ng komunidad ng mga mamumuhunan.
Pag-uugali ng mga Kumpanya ng Teknolohiya
Ang sitwasyon ay lalong pinapalala ng pag-uugali ng mga pangunahing kumpanya ng teknolohiya. Kamakailan lamang ay inalis ng Google ang wika mula sa mga paglalarawan ng mga tampok ng Chrome AI na nagsasaad na ang lokal na data ng mga gumagamit ay hindi ipapadala sa mga server ng kumpanya, na higit pang nagpapahina sa tiwala sa mga centralized ecosystem.
Pangunahing Takeaway
Ang pangunahing takeaway ay hindi mo dapat pagkatiwalaan ang anumang mensahe na nagsasabing may agarang isyu sa seguridad sa iyong account – kahit na ang email ay nagmumula sa opisyal na domain ng Google. Ayon kay Lopp, ang teknikal na kaalaman ng mga bagong gumagamit ay bumababa, na ginagawang perpektong target sila para sa mga ganitong uri ng pag-atake.
