Después de 2 meses negando una posible filtración de datos de su plataforma, Yuriy Sorokin, el CEO de 3Commas, ha admitido finalmente que las claves API de sus clientes sí están comprometidas. El origen de la brecha sigue sin explicarse en el momento de escribir
Se filtran las claves API de 3Commas
Yuriy Sorokin, consejero delegado de 3Commas, una plataforma automatizada de comercio de criptomonedas, admitió finalmente que las claves API de sus usuarios fueron comprometidas:
1. Declaración de 3Commas:
Hemos visto el mensaje del hacker y podemos confirmar que los datos de los archivos son ciertos. Como acción inmediata, hemos pedido que Binance, Kucoin y otros intercambios compatibles revoquen todas las claves que estaban conectadas a 3Commas.
– Yuriy Sorokin (@YS_3Commas) 28 de diciembre de 2022
» Hemos visto el mensaje del hacker y podemos confirmar que los datos de los archivos son ciertos. Como acción inmediata, hemos pedido a Binance, Kucoin y otras plataformas de intercambio compatibles que revoquen todas las claves que estaban conectadas a 3Commas. «
Aquí, Yuriy Sorokin se refiere a un usuario de Twitter que compartió parte de la base de datos de 3Commas, que contenía, entre otras cosas, claves API de los usuarios de la plataforma.
Como era de esperar, las respuestas a la declaración del Director General de 3Commas fueron especialmente reivindicativas. De hecho, hace aproximadamente 2 meses que un número creciente de usuarios de la plataforma se quejaron de acciones inexplicables en sus cuentas y 3Commas sigue negando cualquier responsabilidad.
Aunque ya se ha confirmado el problema, el origen de la brecha sigue siendo un misterio, según Yuriy Sorokin:
Hicimos todo lo posible por investigar un trabajo desde dentro, porque siempre fue un escenario posible y estaba en nuestra lista de posibilidades a tener en cuenta, pero no se encontró. Sólo un pequeño número de técnicos tenía acceso a la infraestructura y el 19 de noviembre tomamos medidas para retirarles el acceso. Lamentamos que esta situación haya llegado a tal extremo y seguiremos siendo transparentes en nuestras comunicaciones sobre este asunto. «
Pérdidas que podrían haberse limitado
Como se informó anteriormente, varios usuarios han comenzado a quejarse de acciones externas en sus cuentas de comercio de criptodivisas, que Changpeng Zhao, el CEO de Binance, había compartido él mismo en Twitter:
Vimos al menos 3 casos de usuarios que compartieron su clave API con plataformas de terceros (Skyrex y 3commas), y vieron operaciones inesperadas en sus cuentas. Si has utilizado antes una plataforma de este tipo, te recomiendo encarecidamente que borres tus claves API para estar seguro.
– CZ Binance (@cz_binance) 14 de noviembre de 2022
Y sin embargo, 3Commas ha negado repetidamente los hechos (aquí, aquí y aquí, por ejemplo) en largas entradas de blog, explicando que las pruebas y otras capturas de pantalla de posibles vulnerabilidades en su base de datos fueron fabricadas o falsificadas. 3Commas también culpó a sus usuarios, acusándoles de haber sido engañados por intentos de phishing.
Además, una investigación llevada a cabo por @ZachXBT reveló el 20 de diciembre que se habían robado 14,8 millones de dólares a 44 víctimas. Hay que tener en cuenta que sólo se trata de individuos que han sido víctimas y han decidido unirse para compartir su desgracia, y que el número total de víctimas es probablemente mucho mayor.
2/3 Los usuarios han presentado quejas en diferentes bolsas. Está claro que no es phishing y que las claves api fueron robadas.
3Commas y su fundador han optado por culpar a sus usuarios. Borra las claves api si aún no lo has hecho y deja de usar 3comas.
– ZachXBT (@zachxbt) 20 de diciembre de 2022
» Los usuarios han presentado quejas en varias bolsas de criptomonedas. Está claro que no se trata de phishing y que las claves de acceso han sido robadas. 3Commas y su fundador han optado por culpar a sus usuarios. Borre sus claves de acceso si aún no lo ha hecho y deje de utilizar 3Commas. «
Sin embargo, ahora que por fin se ha admitido la filtración de datos, queda por saber qué ocurrirá con los usuarios afectados. Por el momento, parece que algunos de ellos se han unido para emprender una demanda colectiva.