[WAŻNE] Korzystasz z giełd - przeczytaj to!!! - stara wersja

Regulamin forum
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
Admin
Awatar użytkownika
Posty: 10320
Rejestracja: 13 sierpnia 2011
Reputacja: 5182
Reputacja postu: 
24
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!! - stara wersja

Postautor: Bitmar » niedziela, 21 stycznia 2018, 20:42

W ostatnim czasie mamy masową kradzież środków z giełd kryptowalutowych. Najwięcej jest przypadków włamań na konta z powodu braku dodatkowej weryfikacji 2FA.

Jeśli nie wiesz co to jest 2FA.
Korzystając z banków podajesz login i hasło, jednak gdy chcesz zrobić przelew musisz dodatkowo podać kod jednorazowy który zwykle przychodzi smsem. Dzięki temu haker nawet jak pozna twój login i hasło, bez dostępu do telefonu nie zrobi przelewu (chyba, że wyłudzi ten kod przez phising, kierując Cię na fikcyjna stronę banku). W bankach 2FA jest obowiązkowe, na giełdach nie. Giełdy najczęściej korzystają z Google Authenticator. To aplikacja na telefon/tablet a najlepiej stary smartphone którego nie używasz na co dzień.

Koniecznie włącz 2FA na giełdzie!!! Jeśli nie masz 2FA, tylko kwestią czasu jest, aż haker ogołoci twoje konto. Jeśli nie wiesz jak to zrobić, pomożemy Ci tu na forum.

Pamiętaj, że ostatnio wyciekło 10mln haseł do kont pocztowych: https://zaufanatrzeciastrona.pl/post/ha ... a-w-sieci/
Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ! Jeśli nie ma, pamiętaj, że Twoje hasło też może wyciec w najbliższej przyszłości, albo stało się to 5 minut temu.

Hakerzy mają dostęp do 10mln kont pocztowych! Za pomocą botów mogą je przeszukać w poszukiwaniu maili z giełd, tym samym bez problemu powiążą skrzynki pocztowe z giełdami. Jeśli nie macie 2FA to dla hekra ogołocenia waszego konta na giełdzie to już 2 minuty czasu, bez żadnego problemu. Właściwie słowo "haker", jest tu na wyrost, bo na wasze konta na giełdzie (bez 2FA) mogą bez problemu dostać się nastoletni amatorzy.

Pamiętaj też, żeby nie używać tych samych haseł w różnych miejscach, zawsze jest ryzyko, że w końcu gdzieś baza wycieknie. To jest skrajna głupota! Giełdy są dość dobrze zabezpieczone, ale jeśli używacie tych samych haseł w innych miejscach, to odpowiadać mogą za nie kompletni amatorzy. Tym samym sposobem korzystając z jednego hasła powierzacie (niebezpośrednio) bezpieczeństwo swoich środków osobom trzecim, często nie mającym pojęcie o kwestiach bezpieczeństwa!

Jeśli korzystasz ze swojego giełdowego hasła gdzieś indziej, zmień je KONIECZNIE TERAZ! i załóż 2FA!!!
Jeśli Twoja skrzynka pocztowa ma opcję 2FA, załóż też koniecznie!

Dyskutant
Awatar użytkownika
Posty: 156
Rejestracja: 21 listopada 2016
Reputacja: 318
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: MelomanBTC » niedziela, 21 stycznia 2018, 20:50

Posiadanie konta, bez 2FA nie powinno mieć miejsca u osoby która trzyma chociaż 300 PLN na giełdzie.

Ludzie, to jest naprawdę do was ważny apel, bo bardzo mi szkoda osób które straciły pieniądze (niestety po fakcie najczęściej pozostaje tylko płakać). w ostatnim miesiącu zgłosiło się do mnie z prośbą o pomoc około 30 osób. Całe 30 osób, które utraciły środki na giełdach. Wszystkich łączył jeden schemat: nie miałem 2FA na giełdzie, oraz nie miałem 2FA do maila, ktoś mi wbił na maila - błagam pomóż. Środki które łącznie te zaledwie 30 osób potraciło, to jest równowartość około 3 domów..

30 osób, a nie jestem za bardzo znany, to wyobraźcie sobie co przeżywa support giełd i inni znani "od krypto".


Włączcie 2FA, wszędzie! I pamiętajcie: zapisujecie po prostu kod do odzyskiwania na kartce czy innym bezpiecznym miejscu, skanujecie w aplikacji Google Auth (lub inna do 2FA) i gotowe. Operacja z zapisaniem tego kodu do odzyskiwania (w razie utracenia telefonu) trwa około 1-2 minuty. A może uratować wasze środki.


Dziękuję za uwagę i ostatni raz apeluję do wszystkich - załóżcie 2FA, bo jestem pewien że każda osoba, która nie ma 2FA straci kiedyś swoje wszystkie pieniądze, nawet na najlepszej giełdzie (bo to nie kwestia giełdy) ;)
Tips and donate: 1MeLomanAYHaskzJfidS8nkGFeqmu3giuG

Moderator
Awatar użytkownika
Posty: 11686
Rejestracja: 16 lutego 2013
Reputacja: 3879
Reputacja postu: 
1
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: Bit-els » niedziela, 21 stycznia 2018, 22:14

@Bitmar, może na portal to wrzucić. Potem rt na tt się zrobi

Zawsze mam rację
Awatar użytkownika
Posty: 6923
Rejestracja: 15 lutego 2011
Reputacja: 4513
Reputacja postu: 
5
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: ShadowOfHarbringer » niedziela, 21 stycznia 2018, 23:00

Wszystko potwierdzam.

Dodam, że moje konto na giełdzie HitBTC zostało zhakowane, chociaż wszędzie używam innych haseł i mój komp nie został zhakowany. Nie miałem 2FA. Nic nie zginęło tylko dlatego, że jestem ostrożny i nie trzymam kryptowalut na giełdzie.

Zabezpieczenie własnego kompa to już za mało. Złodzieje dobierają się do emailów w locie, lub mają hasło do skrzynki, lub włamują się do dostawcy email, lub nawet na samą giełdę.

Włączajcie 2FA, bo nie znacie dnia ani godziny.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Wygadany
Posty: 638
Rejestracja: 1 lipca 2017
Reputacja: 111
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: gofer » niedziela, 21 stycznia 2018, 23:12

Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ!
Mail wyciekł, 2FA włączone. Skąd pewność, że hasło wyciekło? Nigdy nie miałem próby logowania na moją skrzynkę z innego IP. Muszę zmieniać hasło?

Początkujący
Posty: 294
Rejestracja: 10 lipca 2017
Reputacja: 61
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: sebastian86 » niedziela, 21 stycznia 2018, 23:18

gofer pisze:
Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ!
Mail wyciekł, 2FA włączone. Skąd pewność, że hasło wyciekło? Nigdy nie miałem próby logowania na moją skrzynkę z innego IP. Muszę zmieniać hasło?
jesteś pewny ze chcesz ryzykować ?
NIE ?
To co się głupio pytasz.
koledzy w innych tematach pisali ile trwa wyczyszczenie konta.
2FA narazie jest skuteczne.
Nie oszukujmy sie nawet jeśli system jest bezpieczny i teoretycznie nie do złamania, to niewykluczone ze ma gdzieś furtke

Weteran
Posty: 1521
Rejestracja: 3 grudnia 2017
Reputacja: 231
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: redlumek » niedziela, 21 stycznia 2018, 23:25

Na tej stronie macie opisane jakie strony z danym emailem zostały hakowane. Np mój email wyrzucił chyba z 10 wyników. Ale to były hakowane tylko te strony z tej listy. Na emailu mam inne hasło zaś na tych stronach miałem swoje standardowe hasło do stron jednorazowych/mało ważnych
Od pewnego czasu do każdej strony mam hasło wygenerowane przez lastpass-a

Początkujący
Posty: 10
Rejestracja: 16 września 2017
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: bejzkuper » niedziela, 21 stycznia 2018, 23:30

Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ! Jeśli nie ma, pamiętaj, że Twoje hasło też może wyciec w najbliższej przyszłości, albo stało się to 5 minut temu.
jest jakaś pewność, że ta strona nie sprzeda komuś mego maila, lub nie trafię przy okazji na jakąś spam-listę? bo w sumie nie wiem czy sprawdzać

Zawsze mam rację
Awatar użytkownika
Posty: 6923
Rejestracja: 15 lutego 2011
Reputacja: 4513
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: ShadowOfHarbringer » poniedziałek, 22 stycznia 2018, 00:09

bejzkuper pisze:
Bitmar pisze: Sprawdź czy nie wyciekło i Twoje hasło: https://haveibeenpwned.com/. Jeśli tak, zmień je koniecznie TERAZ! Jeśli nie ma, pamiętaj, że Twoje hasło też może wyciec w najbliższej przyszłości, albo stało się to 5 minut temu.
jest jakaś pewność, że ta strona nie sprzeda komuś mego maila, lub nie trafię przy okazji na jakąś spam-listę? bo w sumie nie wiem czy sprawdzać
Ta strona jest bezpieczna, reklamują ją i ręczą za nią profesjonaliści w branży.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Gaduła
Posty: 426
Rejestracja: 1 maja 2011
Reputacja: 17
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: severson » poniedziałek, 22 stycznia 2018, 07:51

redlumek pisze: Na tej stronie macie opisane jakie strony z danym emailem zostały hakowane.
No właśnie nie mogę znaleźć, a ciekawy jestem kto "popuścił".

A dobra, zapomniałem przewinąć w dół. ;)

Bitcoin Forum
Dailymotion
lastfm
myspace

mail.ru
exploit.in

Co dziwne - dwóch ostatnich nie kojarzę żebym kiedyś używał.

Dobra, widzę, że exploit.in to zbiorcza baza danych, więc pewnie któreś z pozostałych się załapało.
Ostatnio zmieniony poniedziałek, 22 stycznia 2018, 08:02 przez severson, łącznie zmieniany 2 razy.

Weteran
Awatar użytkownika
Posty: 3072
Rejestracja: 3 grudnia 2017
Reputacja: 1082
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: CzarnaOwca » poniedziałek, 22 stycznia 2018, 07:56

Na dole powinny być wymienione strony jeśli Twój email został "udostępniony".

smp
Początkujący
Posty: 238
Rejestracja: 21 maja 2013
Reputacja: 65
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: smp » poniedziałek, 22 stycznia 2018, 10:28

Polecam ten serwis:
https://verify.4iq.com/

Podajecie tam swój mail!

Jeśli ten mail zostanie odnaleziony w bazie to przyjdzie wam na niego mail z kilkoma ostatnimi znakami waszego hasła! Jeśli wyciekło!

Wtedy macie dowód! Bo to że mają wasz mail to jeszcze nie musi znaczyć, że mają hasło!

Początkujący
Awatar użytkownika
Posty: 141
Rejestracja: 31 października 2017
Reputacja: 28
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Kraków

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: sciborsson » poniedziałek, 22 stycznia 2018, 11:03

Hej ja mam pytanie, bo trochę się zapatrzyłem dzisiaj zakładając GA do gmaila (na giełdach GA mam już jakiś czas i dla nich spisałem sobie kody) i nie spisałem kodu do odzyskiwania, ani nie mam kodu QR- czy i jak mogę go sobie wyświetlić? Muszę jakby jeszcze raz założyć GA i tym razem już spisać ten kod czy jest na to jakiś inny sposób?

Wygadany
Posty: 638
Rejestracja: 1 lipca 2017
Reputacja: 111
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: gofer » poniedziałek, 22 stycznia 2018, 11:16

@smp,
smp pisze: Polecam ten serwis:
https://verify.4iq.com/

Podajecie tam swój mail!

Jeśli ten mail zostanie odnaleziony w bazie to przyjdzie wam na niego mail z kilkoma ostatnimi znakami waszego hasła! Jeśli wyciekło!

Wtedy macie dowód! Bo to że mają wasz mail to jeszcze nie musi znaczyć, że mają hasło!
Mail wyciekł a hasło przysłali złe. Poza tym hasło nie zmieniane na moim starym mailu od 2012 roku :)
Komu by się chciało 24 znaki łamać.

Początkujący
Awatar użytkownika
Posty: 309
Rejestracja: 19 marca 2016
Reputacja: 35
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: dr_hash » poniedziałek, 22 stycznia 2018, 11:20

Mi przysłali hasło które miałem jakieś 3 lata temu jak jeszcze tego konta za bardzo nie używałem więc i hasło było proste ale prawidłowe. Poczta na o2.

m.m
Początkujący
Posty: 963
Rejestracja: 25 grudnia 2017
Reputacja: -21
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: m.m » poniedziałek, 22 stycznia 2018, 12:19

ShadowOfHarbringer pisze: Złodzieje dobierają się do emailów w locie,
jak ? konkretnie

Może by tak co 30 dni zmieniać hasło ? przecież to są podstawy....

Weteran
Awatar użytkownika
Posty: 2160
Rejestracja: 1 czerwca 2016
Reputacja: 1042
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: wrip » poniedziałek, 22 stycznia 2018, 12:36

Proponuję korzystać z LastPass - nie jest to może idealne rozwiązanie, ale jest w miarę bezpieczne.

Dobrze jest też stosować prefix lub sufix do zapisanego w LP hasła. Czyli Lastpass zapisuje 20 znaków z hasła, a my dopisujemy na końcu drugą część hasła, którą pamiętamy. W ten sposób nawet przejęcie haseł z LP nie umożliwi łatwego zalogowania się do serwisu. Prefix lub sufix może być ten sam dla wszystkich stron, byle był w miarę skomplikowany i miał >8 znaków.
Oczywiście logowanie do LP też musi być z 2FA.
To naprawdę pomaga w zarządzaniu hasłami. Jakoś nie słychać o wyciekach lub masowej kradzieży haseł z LP. Cały kontener z danymi jest szyfrowany, więc LP nie ma możliwości dostępu do niego.

LP jest darmowe, więc można mieć drugie konto tylko z danymi logowania do giełd i logować się do LP tylko w razie potrzeby i od razu wylogowywać.
NANO - zdecentralizowana i ultraskalowalna kryptowaluta z błyskawicznymi i darmowymi przelewami.

Zawsze mam rację
Awatar użytkownika
Posty: 6923
Rejestracja: 15 lutego 2011
Reputacja: 4513
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: ShadowOfHarbringer » poniedziałek, 22 stycznia 2018, 13:19

m.m pisze:
ShadowOfHarbringer pisze: Złodzieje dobierają się do emailów w locie,
jak ? konkretnie
Czytaj:
https://forum.bitcoin.pl/viewtopic.php?f=21&t=26464
m.m pisze:Może by tak co 30 dni zmieniać hasło ? przecież to są podstawy....
Nie, nie ma to sensu. Jedyne co to zrobić sobie jedno mocne, losowe hasło i bardzo ważne - w każdym serwisie hasło mieć inne.

Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

m.m
Początkujący
Posty: 963
Rejestracja: 25 grudnia 2017
Reputacja: -21
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: m.m » poniedziałek, 22 stycznia 2018, 14:30

ShadowOfHarbringer pisze: Czytaj:
https://forum.bitcoin.pl/viewtopic.php?f=21&t=26464
internet można "podsłuchać" tylko u operatora lub w węzłach wymiany ruchu a tu mamy ruch tysięcy innych użytkowników więc sniffer będzie potrzebował bardzo dużo szmocy by przeanalizować dane więc bardzo szybko zostanie wykryty. Do tego dochodzi nam HSTS i innego zabezpieczenia / szyfrowanie. Operatorzy wi fi również szyfrują komunikację a właściwie producenci anten, tą transmisję można podsłuchać ale tu podobny problem typu wiele sygnałów nam "wi fi w powietrzu", czas, sprzęt i potężny skill.

ok, SSL jest dziurawy ale jego złamanie i tak wymaga bardzo dużo zasobów i czasu. Więc ponownie pytam gdzie można ten "email" przeczytać w locie ?
ShadowOfHarbringer pisze: Nie, nie ma to sensu. Jedyne co to zrobić sobie jedno mocne, losowe hasło i bardzo ważne - w każdym serwisie hasło mieć inne.
okresowa zmiana certyfikatów/kluczy/haseł jest podstawą polityki bezpieczeństwa w każdym miejscu gdzie ważne jest bezpieczeństwo, takie rozwiązanie znajdziesz w standardowych reguły aplikacji czy nawet active directory.

Hasło wycieka 27 grudnia, planowany przelew 5 stycznia, Ty tradycyjnie 1 stycznie zmieniasz wszystkie hasła. Masz rację jest to totalnie zbędne.
ShadowOfHarbringer pisze: Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.
Placebo dobra rzecz, tego się trzymaj.

Wygadany
Posty: 562
Rejestracja: 4 listopada 2013
Reputacja: 89
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: S.O.S » poniedziałek, 22 stycznia 2018, 14:41

m.m pisze: ShadowOfHarbringer pisze:
Przejdź do cytowanego posta Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.


Placebo dobra rzecz, tego się trzymaj.

@m.m, ja bym prosił o rozwinięcie twoich zarzutów w temacie tego rozwiązania. Jak zauważyłem przy okazji ostatnich wydarzeń bardzo często polecany jest keypass jako panaceum na problem wielu haseł. Jeszcze nie korzystam a dopiero zbieram wiedzę na temat zastosowania i słabych punktów więc chętnie wysłucham.

Wróć do „Giełdy i serwisy - zagrożenia”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 0 gości