Polskie Forum Bitcoin

tak dla testu założyłem sobie konto na Bitfinexie i postanowiłem zmienić hasło. Okazało się, że nie wymaga to żadnego potwierdzenia mailem, 2fa, a nawet podanie starego hasła na początku.
Po prostu w settingu wpisuje się nowe i fru.

Jakiś absurd.

Widocznie wychodzą z założenia, że jak ktoś już się zalogował (wymagane 2fa) to może już wszystko.
Ale myślę, że powodów dostania się na konto niepowołanej osoby jest wiele i tak wrażliwe procedury jak zmiana hasła, powinny być obwarowane dodatkowymi zabezpieczeniami.
Tak jest na prawie każdej innej giełdzie.
Napisałem do supportu, ciekawe co odpowiedzą

Mówisz o sytuacji kiedy ktoś się nie wyloguje i przejmujesz kontrolę nad komputerem, ale nawet jak zmienisz hasło to nic z nim nie zrobisz bo 2fa dalej jest aktywne. Możesz jedynie wykonywać niekorzystne transakcję, prawda?

No teoretycznie tak. Ale zasada powinna być taka, że istotne zmiany są dodatkowo potwierdzane. Jakiś link na mail, 2fa, SMS.
Tu nawet właściciel konta się nie dowie, że ma zmienione hasło, bo żadnej informacji na mail np nie ma.