portfel w blockchain.info - ku przestrodze !!!

[prezes]

Wczoraj chciałem zrobić przelew BTC z blockchain na przelot szybowcem nad Himalajami.
Wchodzę jak zwykle przez tego samego linka na stronę blockchain i .... wyskakuje mi coś takiego:

1.jpg

WTF
identyfikator zawsze pojawiał mi się automatycznie jak podawałem swój login.
Myślę sobie skąd mam wziąć teraz identyfikator lub alias?
Przypomnienie hasła nie działa bo nie podałem maila ale przecież hasło pamiętam tylko nie mam gdzie loginu podać tylko chcą identyfikator.
Oczywiście dostałem ten identyfikator na maila przy rejestracji ale niestety na serwerze już tego maila nie mam

Myślę sobie o co chodzi przecież w czwartek robiłem jeszcze przelew z blockchain i w tym momencie dostałem oświecenia, ze ostatni przelew robiłem z innego komputera.
Wchodzę na blockchain na tym kompie gdzie robiłem ostatni przelew i ... wchodząc na portfel pokazuje mi się mój identyfikator

Pierwszą rzeczą jaką zrobiłem jak udało mi się wejśc na swój portfel na blockchain to było zapisanie identyfikatora (kiedyś wydawało mi się, że wystarczy znać login i hasło), a następnie wyeksportowanie kluczy prywatnych.

Pamiętajcie, żeby posiadać klucze prywatne do adresu na którym macie swoje BTC, nigdy nic nie wiadomo!!!


Tylko nie wysyłajcie czasem kluczy prywatnych mailem, bo możecie się pozbyć szybciej waszych BTC niż się spodziewacie.
I na koniec ciekawostka, teraz znowu mogę wejść na swój portfel w blockchain podając login - identyfikator uzupełnia sie sam.

EDIT
poszła kaska z blockchain na wyprawę szybowcem Sebastiana Kawy w Himalaje

[lenny]

Bardzo ważna informacja.
Ja co prawda mam zapisany ten identyfikator, ale dobrze wiedzieć.

[CyfrowaEkonomia]

Ja zawsze po wpisaniu loginu dostawałem maila, z linkiem. Wtedy dopiero identyfikator się uzupełniał. Teraz jak wpisuję login identyfikator uzupełnia się automatycznie. Tak czy inaczej mam ustawiony automatyczny backup na dropboxa i nigdy nie trzymam tam większych sum, więc nie obawiam się

[hanti]

mozna to sobie w opcjach zmienic na dowolna nazwe i wtedy wpisujesz np prezes zamiast identyfikatora

[jerry]

mozna to sobie w opcjach zmienic na dowolna nazwe i wtedy wpisujesz np prezes zamiast identyfikatora

Używający aliasu dostają maile od blockchain.info o próbach logowania z innego IP, np. z USA, informacja potwierdzona wielokrotnie. Prawdopodobnie dokonywane są próby logowania na wszystkie aliasy wg słownika.

Problem polega na tym, że w momencie próby logowania, nawet nieudanego, plik walleta zostaje wczytany do przeglądarki, pozostaje w cache i zapewne jest poddawany łamaniu brute force. Jeżeli ktoś ma słabe hasło...

[rha]

Plik walleta zostaje wczytany do przeglądarki?

[jerry]

Plik walleta zostaje wczytany do przeglądarki?

Nie potrafię tego zweryfikować, ale natrafiłem na takie info, kiedy szukałem o próbach logowania z innego IP dla portfel blockchain.

Na logikę, skoro wszystkie operacje odbywają się lokalnie w przeglądarce, a tak informuje blockchain, plik walleta musi być przesłany do przeglądarki, odszyfrowany i po zakończeniu sesji zaszyfrowany i wysłany na serwer.

Czyli w celu próby odszyfrowania musi być wczytany. Wystarczy.

Z kolei jego kopia może być przesłana na Dropbox lub e-mail i wczytana do Multibita po podaniu hasła. Czyli kopie leżące na serwerach poczty czy na Dropboxie też są narażone na brute force.

[hanti]

mozna to sobie w opcjach zmienic na dowolna nazwe i wtedy wpisujesz np prezes zamiast identyfikatora

Używający aliasu dostają maile od blockchain.info o próbach logowania z innego IP, np. z USA, informacja potwierdzona wielokrotnie. Prawdopodobnie dokonywane są próby logowania na wszystkie aliasy wg słownika.

Problem polega na tym, że w momencie próby logowania, nawet nieudanego, plik walleta zostaje wczytany do przeglądarki, pozostaje w cache i zapewne jest poddawany łamaniu brute force. Jeżeli ktoś ma słabe hasło...

mam 2 rozne konta i nic takiego nie dostaje + mam dodatkowo haslo smsowe wiec niech sobie probuja
a to wczytanie do przegladarki to by byl mega blad i jesli tylko tego nie naprawili daj znac to od razu rezygnuje

[jerry]

....
mam 2 rozne konta i nic takiego nie dostaje + mam dodatkowo haslo smsowe wiec niech sobie probuja
a to wczytanie do przegladarki to by byl mega blad i jesli tylko tego nie naprawili daj znac to od razu rezygnuje

Kilku moich znajomych dostawało, skończyło się po zmianie walleta i nieużywaniu aliasu.

Before your bitcoin wallet is saved on our servers it is AES 256 Bit encrypted in your browser. Your password is never shared with us so not even we can open your wallet.

Jeżeli ma odszyfrować i używać w przeglądarce, a taka jest właśnie idea - blockchain nie ma dostępu do kluczy priv, to musi wczytać przed odszyfrowaniem.

[rav3n_pl]

Powodzenia w brucie AES256... równie dobrze można łamać privkeye...
Chyba że faktycznie hasło słownikowo. Ale to już trzeba by być straszna lamą żeby takie hasło mieć

[pm7]

....
mam 2 rozne konta i nic takiego nie dostaje + mam dodatkowo haslo smsowe wiec niech sobie probuja
a to wczytanie do przegladarki to by byl mega blad i jesli tylko tego nie naprawili daj znac to od razu rezygnuje

Kilku moich znajomych dostawało, skończyło się po zmianie walleta i nieużywaniu aliasu.

Before your bitcoin wallet is saved on our servers it is AES 256 Bit encrypted in your browser. Your password is never shared with us so not even we can open your wallet.

Jeżeli ma odszyfrować i używać w przeglądarce, a taka jest właśnie idea - blockchain nie ma dostępu do kluczy priv, to musi wczytać przed odszyfrowaniem.

Co do wysyłania walleta - nie wiem, jak jest zrobione, ale zdecydowanie MOŻNA zrobić to bezpiecznie, to znaczy:
Klient przy logowaniu wpisuje hasło. Przeglądarka robi skrót (np. SHA) z hasła i wysyła do Blockchaina. Blockchain robi skrót z otrzymanego skrótu i porównuje z bazą danych. Jeżeli się zgadza, wysyła zaszyfrowane klucze prywatne Bitcoin, które klient odszyfrowuje swoim hasłem, którego Blockchain nie zna. Oczywiście, jeżeli skrót się nie zgadza, nie wysyłają portfela, bo i po co?

identyfikator zawsze pojawiał mi się automatycznie jak podawałem swój login.
Myślę sobie skąd mam wziąć teraz identyfikator lub alias?
Przypomnienie hasła nie działa bo nie podałem maila ale przecież hasło pamiętam tylko nie mam gdzie loginu podać tylko chcą identyfikator.
Oczywiście dostałem ten identyfikator na maila przy rejestracji ale niestety na serwerze już tego maila nie mam

Ja używam tylko identyfikatora, nie mam żadnego loginu. Co więcej, muszę podawać go praktycznie za każdym logowaniem (okazjonalne usuwanie ciasteczek).
Dwie rzeczy co do maili:
Po pierwsze, po co usuwać maile z informacją o założeniu konta? Dzisiaj wszystkie serwisy oferują dużo miejsca, rzędu 10GB.
Do drugie, Blockchain okazjonalnie wysyła mailem zaszyfrowane klucze prywatne, tak, że w razie problemów z nim zawsze możemy wczytać te klucze (po odszyfrowaniu naszym hasłem oczywiście) do jakiegoś klienta lokalnego.

Podsumowując - nie wiem o co chodzi.
Autor nie zna loginu (identyfikator to jest login do blockchaina), nie ma maila od Blockchaina i dziwi się, że zażądano od niego pełnego logowania, a nie tylko hasła gdy przeglądarka usunęła cookie.
Powiedz, mnemoników też nie masz? Pokażę ostrzeżenie, jakie dają przy zakładaniu konta (puste, jak chce wam się przepisywać mnemoniki proszę bardzo):

[prezes]

Blockchain trochę ewoluował odkąd zakładałem tam portfel.

Po pierwsze, po co usuwać maile z informacją o założeniu konta? Dzisiaj wszystkie serwisy oferują dużo miejsca, rzędu 10GB.

na tym akurat mailu nie miałem tak długiej historii

Ja używam tylko identyfikatora, nie mam żadnego loginu. Co więcej, muszę podawać go praktycznie za każdym logowaniem (okazjonalne usuwanie ciasteczek).

To że Ty nie masz, nie znaczy, ze inni nie mają. Ja zawsze podawałem tylko login a identyfikator generował się sam, robiłem to na różnych komputerach i również regularnie usuwam wszystkie ciasteczka itp.

Do drugie, Blockchain okazjonalnie wysyła mailem zaszyfrowane klucze prywatne, tak, że w razie problemów z nim zawsze możemy wczytać te klucze (po odszyfrowaniu naszym hasłem oczywiście) do jakiegoś klienta lokalnego.

Jak nie podasz maila to nie wysyłają (nie mam zdefiniowanego maila w blockchain)

Podsumowując - nie wiem o co chodzi.
Autor nie zna loginu (identyfikator to jest login do blockchaina), nie ma maila od Blockchaina i dziwi się, że zażądano od niego pełnego logowania, a nie tylko hasła gdy przeglądarka usunęła cookie.
Powiedz, mnemoników też nie masz? Pokażę ostrzeżenie, jakie dają przy zakładaniu konta (puste, jak chce wam się przepisywać mnemoniki proszę bardzo):

Mam nadzieję, że wytłumaczyłem Ci wszystko jasno i przejrzyście, to że Ty masz tak nie znaczy, ze wszyscy maja tak samo.
Kiedyś przy zakładaniu konta do blockchain podawało się login do którego generowany był identyfikator, więc login i identyfikator to dwie odrębne rzeczy.
Ciasteczka sam usuwam o czym pisałem wyżej, wiec to nie tu leży problem.
Mnemoników też nie mam. To co dają teraz wygląda zupełnie inaczej niż kiedyś.

Post napisałem ku przestrodze innym, że najlepiej jest mieć klucze prywatne bo serwisy mogą coś pozmieniać i może być później problem

[pm7]

Dlatego właśnie warto podać maila - sami wtedy wysyłają klucze prywatne
Poza tym, możesz się zdecydować, czy podawałeś maila, czy nie? Bo jak nie podałeś, to jakiego maila miałeś dostać?

Blockchain dziś jest dość bezpieczny, jak się przestrzega zaleceń.

[prezes]

Wydawało mi się, że podawałem - mogłem zasugerować się tym, ze teraz przy rejestracji się podaje - ale jak sprawdziłem później jak już dostałem się na swoje konto to jednak nie mieli mojego maila - więc może jednak nie podawałem bo nie wymagali.

Naprawdę starałem się ze wszystkich sił przypomnieć sobie cały proces rejestracji na blockchain, który wykonywałem ponad rok temu, kurcze chodziło w końcu o kasę.

Sęk w tym, ze teraz wszystko wygląda zupełnie inaczej niż na samym początku jak blockchain dopiero raczkował i o to mi głównie chodziło, żeby osoby takie jak ja, które zakładały konto na samym początku i korzystały tylko z loginu i hasła nie obudziły się pewnego dnia z ręką w nocniku.

[Jagoda]

Uwaga. Blockchain to OSZUSTWO tak jak MargineElite. Kradną pieniądze i wyłudzają pożyczki!!!!

[maky]

Po pierwsze, po co usuwać maile z informacją o założeniu konta? Dzisiaj wszystkie serwisy oferują dużo miejsca, rzędu 10GB.

Skrzynki pocztowe są najłatwiejszymi wektorami ataku.

Dodano po 4 minutach 12 sekundach:

Uwaga. Blockchain to OSZUSTWO tak jak MargineElite. Kradną pieniądze i wyłudzają pożyczki!!!!

Blockchain w sensie blockchaina BTC czy ETH? LOL

[benq]

@jagoda pierwszy post w wątku z 2013, nieźle.

[bMh]

@jagoda pierwszy post w wątku z 2013, nieźle.

Byc moze dala sie oszukac i podbija dla potomnych

[Kutalisk]

Jagoda pisze: ↑ sobota, 3 kwietnia 2021, 09:03
Uwaga. Blockchain to OSZUSTWO tak jak MargineElite. Kradną pieniądze i wyłudzają pożyczki!!!!


Blockchain w sensie blockchaina BTC czy ETH? LOL

Oszustwo czyli dzwoni do Ciebie koleś z ruskim akcentem z firmy "blokczejn" i oferuje 0,09 BTC ale musisz wpłacić 0,01.
Miałem już kilka takich telefonów. Mają numer prawdopodobnie z wycieku danych z ledgera i jadą z koksem.

[fervi]

Oszustwo czyli dzwoni do Ciebie koleś z ruskim akcentem z firmy "blokczejn" i oferuje 0,09 BTC ale musisz wpłacić 0,01.

Pewnie tak, ale blockchain.com to też scam XD