Efekty braku włączonego 2FA na poczcie i na giełdzie

Regulamin forum
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: constantine » sobota, 30 września 2017, 15:46

Witam wszystkich,
Bezpieczeństwo na tej giełdzie na ten moment jest chyba mocno nie halo.
Na BB 2.0 nie słyszałem o podobnych przypadkach.
Dziś rano między 6:17 a 6:25 znikła mi z konta BB 3.0 kwota 6095PLN.
Zamienione z PLN na BTC i przesłane na adres 1J9ziUsaQhbUPcHK6sWdFnVSGSLL9Pv1HN
Zgłosiłem do supportu BB i czekam na reakcję.
Czy ktoś miał podobny przypadek??
Ostatnio zmieniony niedziela, 1 października 2017, 17:03 przez constantine, łącznie zmieniany 1 raz.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13644
Rejestracja: 16 kwietnia 2012
Reputacja: 2247
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

Re: KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: rav3n_pl » sobota, 30 września 2017, 16:31

Dodałem znak zapytania do tematu.
Byłby to chyba pierwszy przypadek włamu.
Masz 2FA? Co widać w logu logowań?
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.19.0.1
YT: Rafał prostuje Bitcoina, PDFy: https://bit.ly/rafal-prezentacje

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: constantine » sobota, 30 września 2017, 16:58

rav3n_pl pisze:Dodałem znak zapytania do tematu.
Byłby to chyba pierwszy przypadek włamu.
Masz 2FA? Co widać w logu logowań?
Miałem ustawione dwustopniowe na mail.
Obecnie na BB nie można włączyć łącznie mail i 2FA, jest albo albo.
A że też nie słyszałem, żeby komuś zginęło i na szczęście nie trzymałem wszystkich środków, to miałem na dwustopniowe na mail.
W historii mail brak maila z hasłem o godz. 6:17 rano, w historii BB/ostatnie logowania brak logowania o godz. 6:17 rano (czyli godzinie rozpoczęcia działania złodzieja). Ale dziś przy pierwszej próbie logowania na BB dostałem komunikat: błędny login lub hasło. Po przejściu procedury odzyskiwania hasła na koncie brak środków.

Początkujący
Posty: 14
Rejestracja: 5 września 2017
Reputacja: 2
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: the ozo » sobota, 30 września 2017, 17:15

Widocznie haker znał twoje dane do logowania na BB i mail. Sprawdź czy nie masz jakiegoś szkodliwego oprogramowania na kompie. Na onion często są oferty ze sprzedażą takich kont, sam ostatnio się przestraszyłem jak zeskanowałem kompa czym tylko możliwe i był syf. Zmieniłem wszystkie hasła format kompa i teraz virtual box

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: constantine » sobota, 30 września 2017, 18:20

Ciekawe, że w pamięci logowań na ustawienia konta/bezpieczeństwo nie było tego logowania, a w historii logowań na profilu głównym giełdy zarówno logowanie jak zlecenie wypłaty istnienie. Mój znajomy mówi, że skoro nie ma tego w historii głównej (ustawienia konta/bezpieczeństwo), to wygląda tak jakby ktoś z wewnątrz BB to usunął.
Minęły ponad 3godz. od zgłoszenia sprawy zarówno w oficjalnym zgłoszeniu do supportu, bezpośrednio do p. S. Suszka na FB oraz na stronie BB-FB. Na razie nie mam żadnej odpowiedzi w sprawie. I na razie cierpliwie czekam bo jest sobota itd. Ale mogę zapewnić, że moja cierpliwość ma swoje granice..

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13644
Rejestracja: 16 kwietnia 2012
Reputacja: 2247
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: rav3n_pl » niedziela, 1 października 2017, 00:01

Wołamy @bitbay - coś się faktycznie stało czy to bzdury wyssane z palca?
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.19.0.1
YT: Rafał prostuje Bitcoina, PDFy: https://bit.ly/rafal-prezentacje

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: constantine » niedziela, 1 października 2017, 17:01

Głucha cisza ze str. BB: brak odpowiedzi tu, na ticket bezpośredni mieli udzielić odp. w 24, minęło 26godz., na FB brak odp.
Nie jest to pierwszy przypadek włamu:
https://forum.bitcoin.pl/viewtopic.php? ... start=2540
Ktoś już w ub. niedzielę 24 września o godz.13:47 pisał o podobnej sprawie.
Podaję portfel złodzieja: 1J9ziUsaQhbUPcHK6sWdFnVSGSLL9Pv1HN

Oficjalny przedstawiciel projektu
Awatar użytkownika
Posty: 1263
Rejestracja: 29 października 2015
Reputacja: 617
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Warszawa

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: FlyingAtom » niedziela, 1 października 2017, 17:20

constantine pisze: Ciekawe, że w pamięci logowań na ustawienia konta/bezpieczeństwo nie było tego logowania, a w historii logowań na profilu głównym giełdy zarówno logowanie jak zlecenie wypłaty istnienie. Mój znajomy mówi, że skoro nie ma tego w historii głównej (ustawienia konta/bezpieczeństwo), to wygląda tak jakby ktoś z wewnątrz BB to usunął.
Minęły ponad 3godz. od zgłoszenia sprawy zarówno w oficjalnym zgłoszeniu do supportu, bezpośrednio do p. S. Suszka na FB oraz na stronie BB-FB. Na razie nie mam żadnej odpowiedzi w sprawie. I na razie cierpliwie czekam bo jest sobota itd. Ale mogę zapewnić, że moja cierpliwość ma swoje granice..
Jakieś minimum to powinieneś screny wrzucić

Mejla masz zabezpieczonego 2FA ?
Jeśli ktoś się włamał na mejla to logiczne że usunął logowanie.

Raz piszesz że nie ma w historii, raz piszesz że jest, rozwiń proszę ten temat i określ to dokładnie.
Kantor Bitcoin FlyingAtom Konsultacje księgowo-podatkowe.
kupno/sprzedaż bitcoin F2F, przez konta bankowe, wypłaty z bankomatów
Kryptowaluty informacje BitHub.pl Bitcoin, poradnik, wiadomości, blockchain, kryptowaluty
Localbitcoin-FlyingAtom
FlyingAtom-Facebook

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: constantine » niedziela, 1 października 2017, 17:39

Ale screeny czego? Transakcji złodzieja?
Niby po co? To nie jest fotorelacja reporterska. Jak BB chce coś zdementować, to może się odezwać i odnieść.
Miałem zaznaczone logowanie dwustopniowe: hasło + kod na mail. Mail na hasło.
Na BB 2.0 też tak miałem i wiem, że mnóstwo osób tak ma i nie słyszałem, żeby na 2.0 komuś coś zginęło.
Jak procedury bezpieczeństwa są słabe, to sprawa BB, żeby je poprawić i oczekiwać od klienta, żeby je stosował. Na bittrex jak się logujesz z innego IP, to jest robione całe Halo przez giełdę, że ktoś próbuje się zalogować na konto z nowego IP. W moim banku mam logowanie jednostopniowe i pomimo próby włamania nie udało się temu złodziejowi.
Jaśniej tej historii logowań chyba nie potrafię. Najkrócej: historia logowań widnieje w dwóch miejscach, w jednym w historii widnieje data/godz. logowania złodzieja oraz przelewu w BTC, w drugim (tam gdzie można podejrzeć historię 5 ostatnich logowań) - nie.

Weteran
Posty: 1602
Rejestracja: 7 listopada 2013
Reputacja: 775
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: redbog » niedziela, 1 października 2017, 19:35

constantine pisze: Mail na hasło.
Tylko na hasło nic więcej? Bo wcześniej pisałeś:
constantine pisze: Miałem ustawione dwustopniowe na mail.

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: constantine » niedziela, 1 października 2017, 19:50

edbog pisze:
constantine pisze: Mail na hasło.
Tylko na hasło nic więcej? Bo wcześniej pisałeś:
constantine pisze: Miałem ustawione dwustopniowe na mail.
Tak - dwustopniowe: hasło + kod na mail.
Kolega wyżej pytał o to czy mam zabezpieczony mail w 2FA
Ostatnio zmieniony niedziela, 1 października 2017, 19:54 przez constantine, łącznie zmieniany 1 raz.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13644
Rejestracja: 16 kwietnia 2012
Reputacja: 2247
Reputacja postu: 
3
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: rav3n_pl » niedziela, 1 października 2017, 19:53

constantine pisze: Głucha cisza ze str. BB:
Chciałbym przypomnieć, że jest niedziela.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.19.0.1
YT: Rafał prostuje Bitcoina, PDFy: https://bit.ly/rafal-prezentacje

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: constantine » niedziela, 1 października 2017, 19:57

rav3n_pl pisze:
constantine pisze: Głucha cisza ze str. BB:
Chciałbym przypomnieć, że jest niedziela.
Wiem wiem.
Ale w wątku o giełdzie odpowiadają.
Cóż - nadal cierpliwie czekam, na policję nie pobiegłem, ponieważ mam wrażenie graniczące z pewnością, że polska policja/prokuratura nie potrafi znaleźć prostytutki w domu publicznym, a co dopiero...

Weteran
Posty: 1602
Rejestracja: 7 listopada 2013
Reputacja: 775
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: redbog » niedziela, 1 października 2017, 20:01

Czyli jakby ktoś przejął twoje hasło na maila i hasło na bb to nie miał by problemu z wypłaceniem?
Hasło na maila i na bb jest takie samo?
Do innych serwisów korzystasz z tego samego hasła?

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13644
Rejestracja: 16 kwietnia 2012
Reputacja: 2247
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0

Postautor: rav3n_pl » niedziela, 1 października 2017, 20:02

@BitBay, czemu tu nie zajrzycie? Nawet mojego PW nie odczytaliście. Ktoś w niedzielę siedzi na tapatalku?
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.19.0.1
YT: Rafał prostuje Bitcoina, PDFy: https://bit.ly/rafal-prezentacje

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: constantine » niedziela, 1 października 2017, 20:09

edbog pisze:Czyli jakby ktoś przejął twoje hasło na maila i hasło na bb to nie miał by problemu z wypłaceniem?
Hasło na maila i na bb jest takie samo?
Do innych serwisów korzystasz z tego samego hasła?
Nie - hasła na mail i na BB były oczywiście inne.
Korzystam z różnych haseł. Niektóre się powtarzają, ale to na BB było tylko do BB.

Oficjalny przedstawiciel projektu
Awatar użytkownika
Posty: 1263
Rejestracja: 29 października 2015
Reputacja: 617
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Warszawa

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: FlyingAtom » niedziela, 1 października 2017, 20:18

constantine pisze:
edbog pisze:
constantine pisze: Mail na hasło.
Tylko na hasło nic więcej? Bo wcześniej pisałeś:
constantine pisze: Miałem ustawione dwustopniowe na mail.
Tak - dwustopniowe: hasło + kod na mail.
Kolega wyżej pytał o to czy mam zabezpieczony mail w 2FA
To jeśli tak było mejluj do google czy ktoś się zalogował, jeśli nie to bardo dziwne będzie.
Ale jeśli mejla miałeś zabezpieczanego numerem telefonu, to nie mógł nikt się zalogować.

@silv7r
Mógłbyś skomentować czy coś z Twoja sprawą ruszyło się do przodu ?
Kantor Bitcoin FlyingAtom Konsultacje księgowo-podatkowe.
kupno/sprzedaż bitcoin F2F, przez konta bankowe, wypłaty z bankomatów
Kryptowaluty informacje BitHub.pl Bitcoin, poradnik, wiadomości, blockchain, kryptowaluty
Localbitcoin-FlyingAtom
FlyingAtom-Facebook

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13644
Rejestracja: 16 kwietnia 2012
Reputacja: 2247
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: rav3n_pl » niedziela, 1 października 2017, 20:21

FlyingAtom pisze: Ale jeśli mejla miałeś zabezpieczanego numerem telefonu, to nie mógł nikt się zalogować.
Jest jeszcze opcja że ma na kompie zdalny dostęp i złodziej po prostu użył jego kompa - nie musiał telefonu podawać itd.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.19.0.1
YT: Rafał prostuje Bitcoina, PDFy: https://bit.ly/rafal-prezentacje

Dyskutant
Posty: 178
Rejestracja: 13 czerwca 2014
Reputacja: 33
Reputacja postu: 
1
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: silv7r » niedziela, 1 października 2017, 20:29

FlyingAtom pisze: constantine pisze:
edbog pisze:
constantine pisze:
Przejdź do cytowanego posta Mail na hasło.

Tylko na hasło nic więcej? Bo wcześniej pisałeś:
constantine pisze:
Przejdź do cytowanego posta Miałem ustawione dwustopniowe na mail.

Tak - dwustopniowe: hasło + kod na mail.
Kolega wyżej pytał o to czy mam zabezpieczony mail w 2FA


To jeśli tak było mejluj do google czy ktoś się zalogował, jeśli nie to bardo dziwne będzie.
Ale jeśli mejla miałeś zabezpieczanego numerem telefonu, to nie mógł nikt się zalogować.

@silv7r
Mógłbyś skomentować czy coś z Twoja sprawą ruszyło się do przodu ?
Czekam aż zadzwonią z policji.
Ogólnie kontakt z tą giełdą to porażka jeszcze się nie dowiedziałem nawet czy ktoś np. zmieniał hasło przed kradzieżą.
BB ubezpieczona nie jest więc trzeba się będzie sądzić...
Nie wiek jak wygląda dokładnie sprawa z odpowiedzialnością ale jak w banku klientowi znikną pieniądze z konta bankowego to bank zwraca (bo jest ubezpieczony) a tu... zobaczymy po precedens na Polskę.

Dodano po 8 minutach 49 sekundach:
Ogólnie za ten kontakt z nimi to bym zrobił aferę i karci już mnie powoli.

Zawsze mówiłem że BB to g*wnno bo już mieli wiele dziwnych śmierdzących zachowań.
A teraz klientom "giną" pieniądze.
Ciekawe czy BITCUREX się powtórzy.............

Początkujący
Awatar użytkownika
Posty: 215
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?

Postautor: constantine » niedziela, 1 października 2017, 20:45

silv7r pisze: Czekam aż zadzwonią z policji.
Ogólnie kontakt z tą giełdą to porażka jeszcze się nie dowiedziałem nawet czy ktoś np. zmieniał hasło przed kradzieżą.
BB ubezpieczona nie jest więc trzeba się będzie sądzić...
Nie wiek jak wygląda dokładnie sprawa z odpowiedzialnością ale jak w banku klientowi znikną pieniądze z konta bankowego to bank zwraca (bo jest ubezpieczony) a tu... zobaczymy po precedens na Polskę.
Kolego liczyłem, że się odezwiesz. Ponieważ padło tu, że mój przypadek jest pierwszy. Mógłbyś odpisać na wiad., którą wysłałem?
Co do policji - podziwiam zapał, entuzjazmu nie podzielam. Wiem coś o tym, bo mam z nimi do czynienia zawodowo - marne szanse i jeszcze Ci może np. prokurator sprzęt "zabezpieczyć" do analizy na wiele m-cy.
Ja zamierzam działać od razu sądownie. Jestem z Mazowsza, giełda jest zarejestrowana na terenie RP, w CEiDG będzie ich bardzo łatwo odnaleźć. A pieniądze - cóż, odzyskam, nie odzyskam, przez właściwy sąd ich przeciągnę. Moim zdaniem konta nie są odpowiednio zabezpieczono skoro w przeciągu kilku dni co najmniej dwóm osobom ktoś kradnie pieniądze. Oczywiście biję się w pierś co do nie włączenia 2FA. Jakbym wiedział że się przewrócę, to bym...
Ostatnio zmieniony niedziela, 1 października 2017, 22:03 przez constantine, łącznie zmieniany 1 raz.

Wróć do „Giełdy i serwisy - zagrożenia”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość