Efekty braku włączonego 2FA na poczcie i na giełdzie

[The Real McCoin]

Giełdy różnią się od banków, ale jako ciekawostkę przypomnę tą historię z wyparowania 120 000 zł z konta klientki banku:

https://forum.bitcoin.pl/viewtopic.php? ... 64#p298264

[pm7]

Ilość metod do weryfikacji 2FA będzie zwiększana. Obecnie przygotujemy wdrożenie na produkcję 2FA za pomocą smsów.

To nie jest dobra opcja do oferowania. Bezpieczeństwo operatorów telefonicznych leży. Znane są przypadki, że wystarczy dobrą historię przygotować i support operatora przekierował SMS do złodzieja.
https://blog.kraken.com/post/219/securi ... le-phones/
https://www.schneier.com/blog/archives/ ... _long.html

NIST is no longer recommending two-factor authentication systems that use SMS, because of their many insecurities. In the latest draft of its Digital Authentication Guideline, there's the line:

[Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.

Co mają jeszcze zrobić by weryfikować transakcje? Mogą się np ubezpieczyć jak bankito ich problem w jaki sposób weryfikują autentyczność osób i zabezpieczają transakcje. Jak policja ustali że to nie ja fizycznie wypłaciłem środki a sąd uzna że weryfikacja osób wypłacających środki leży po ich stronie , to odpowiedzialność spadnie na nich.

Giełda oferuje bezpieczniejszą metodę weryfikacji (Google Authenticator). Jeżeli użytkownik nie aktywował tego, to trzeba uznać, że zgadza się na weryfikację przez maila. Ta weryfikacja została wykonana, więc gdzie tu wina giełdy?

No więc jak mają nie ograniczony dostęp to też zawsze mogą powiedzieć że to złodziej okradł jakiś a nie oni (nie sugeruje tego oczywiście ale wykluczyć nie może tej opcji nikt) chyba że kod potwierdzający przyszedł by np. na telefon.

Tak z ciekawości, w jaki sposób wysłanie kodu potwierdzającego na telefon miałoby udowodnić, że giełda nie popełniła kradzieży? Przecież jako wysyłający znaliby kod, jaki wysyłają

[liseklsk]

Ilość metod do weryfikacji 2FA będzie zwiększana. Obecnie przygotujemy wdrożenie na produkcję 2FA za pomocą smsów.

To nie jest dobra opcja do oferowania. Bezpieczeństwo operatorów telefonicznych leży. Znane są przypadki, że wystarczy dobrą historię przygotować i support operatora przekierował SMS do złodzieja.
https://blog.kraken.com/post/219/securi ... le-phones/
https://www.schneier.com/blog/archives/ ... _long.html

NIST is no longer recommending two-factor authentication systems that use SMS, because of their many insecurities. In the latest draft of its Digital Authentication Guideline, there's the line:

[Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.

Co mają jeszcze zrobić by weryfikować transakcje? Mogą się np ubezpieczyć jak bankito ich problem w jaki sposób weryfikują autentyczność osób i zabezpieczają transakcje. Jak policja ustali że to nie ja fizycznie wypłaciłem środki a sąd uzna że weryfikacja osób wypłacających środki leży po ich stronie , to odpowiedzialność spadnie na nich.

Giełda oferuje bezpieczniejszą metodę weryfikacji (Google Authenticator). Jeżeli użytkownik nie aktywował tego, to trzeba uznać, że zgadza się na weryfikację przez maila. Ta weryfikacja została wykonana, więc gdzie tu wina giełdy?

No więc jak mają nie ograniczony dostęp to też zawsze mogą powiedzieć że to złodziej okradł jakiś a nie oni (nie sugeruje tego oczywiście ale wykluczyć nie może tej opcji nikt) chyba że kod potwierdzający przyszedł by np. na telefon.

Tak z ciekawości, w jaki sposób wysłanie kodu potwierdzającego na telefon miałoby udowodnić, że giełda nie popełniła kradzieży? Przecież jako wysyłający znaliby kod, jaki wysyłają

Dlatego bardo dobre rozwiązanie ma @BitBay w kwestii wypłaty pieniędzy w bankomatach. Jeden pin dostajemy mailem od BB a drugi pin dostajemy smsem od skycasha, jest to właśnie poczynione ze względów bezpieczeństwa żeby osoba z którejś z tych dwóch instytucji nie przywłaszczyła sobie pienędzy, wiadomo że wszędzie pracują "tylko" ludzie. Uważam że bb jest zabezpieczone w należyty sposób i w tym przypadku, który jest tutaj opisywana niestety wina leży po stronie użytkownika. Gdyby to było włamanie na giełdę tak jak kiedyś np. na bm przez bramkę szybkich płatności to sprawa by wyglądała inaczej i podejrzewam że użytkownik dawno by odzyskał swoje środki a bb szukał sprawcy.

[pm7]

Dlatego bardo dobre rozwiązanie ma @BitBay w kwestii wypłaty pieniędzy w bankomatach. Jeden pin dostajemy mailem od BB a drugi pin dostajemy smsem od skycasha, jest to właśnie poczynione ze względów bezpieczeństwa żeby osoba z którejś z tych dwóch instytucji nie przywłaszczyła sobie pienędzy

Ale wiesz, że oba te PIN-y są generowane przez Skycash, czy jakąś inną instytucję obsługującą te wypłaty?

[liseklsk]

Dlatego bardo dobre rozwiązanie ma @BitBay w kwestii wypłaty pieniędzy w bankomatach. Jeden pin dostajemy mailem od BB a drugi pin dostajemy smsem od skycasha, jest to właśnie poczynione ze względów bezpieczeństwa żeby osoba z którejś z tych dwóch instytucji nie przywłaszczyła sobie pienędzy

Ale wiesz, że oba te PIN-y są generowane przez Skycash, czy jakąś inną instytucję obsługującą te wypłaty?

Jeden pin przez skycash a jeden przez BB

[pm7]

@liseklsk, pisz po polsku, bo nie wiadomo o co Ci chodzi (brak czasownika, brak kropki lub znaku zapytania na końcu).
Jeżeli brakującym słowem jest "generowany", to się nie zgadzam. Oba są niewątpliwie generowane przez ten sam podmiot i przekazywane do Ciebie różnymi drogami (przez różne firmy).

[liseklsk]

@liseklsk, pisz po polsku, bo nie wiadomo o co Ci chodzi (brak czasownika, brak kropki lub znaku zapytania na końcu).
Jeżeli brakującym słowem jest "generowany", to się nie zgadzam. Oba są niewątpliwie generowane przez ten sam podmiot i przekazywane do Ciebie różnymi drogami (przez różne firmy).

Możesz się nie zgadzać to już Twój problem nie mój. Kontaktowałem się wielokrotnie z BB czy skycash i w przypadku braku wiadomości z którymś pinem wiem coś na ten temat, a jeżeli już tak się czepiasz mojej pisowni to również Twoje zdanie jest bez sensu. Pierwsza część jest twierdząca po przecinku pytasz o to samo co w pierwszej części stwierdziłeś.

[pm7]

Kontaktowałem się wielokrotnie z BB czy skycash i w przypadku braku wiadomości z którymś pinem wiem coś na ten temat,

To może się podziel tą wiedzą? Na jakiej podstawie twierdzisz, że to BB generuje jeden z PIN-ów do wypłaty w bankomacie?

a jeżeli już tak się czepiasz mojej pisowni to również Twoje zdanie jest bez sensu. Pierwsza część jest twierdząca po przecinku pytasz o to samo co w pierwszej części stwierdziłeś.

Proponuję, żebyś przeczytał jeszcze raz moją wypowiedź. Napisałem, że Twoja wypowiedź jest niejednoznaczna, a następnie założyłem o co Ci mogło chodzić i na to odpowiedziałem.

[liseklsk]

Kontaktowałem się wielokrotnie z BB czy skycash i w przypadku braku wiadomości z którymś pinem wiem coś na ten temat,

To może się podziel tą wiedzą? Na jakiej podstawie twierdzisz, że to BB generuje jeden z PIN-ów do wypłaty w bankomacie?

a jeżeli już tak się czepiasz mojej pisowni to również Twoje zdanie jest bez sensu. Pierwsza część jest twierdząca po przecinku pytasz o to samo co w pierwszej części stwierdziłeś.

Proponuję, żebyś przeczytał jeszcze raz moją wypowiedź. Napisałem, że Twoja wypowiedź jest niejednoznaczna, a następnie założyłem o co Ci mogło chodzić i na to odpowiedziałem.

Wydaje mi się że w tym momencie robimy śmietnik z wątku. Czy ta przepychanka me sens?Dlatego proszę Cię jako moderatora usuń to co niepotrzebne. Po kontakcie z BB w przypadku braku któregoś z kodów mogli podać mi tylko jeden, ten który przychodzi na maila od nich.
Widzę że moderacja tu stoi na wysokim poziomie xD. Sam zaczynasz jakieś przepychanki i mnie minusujesz. Idź sobie herbatkę wypij

[pm7]

Generalnie tutaj nie usuwamy postów (poza spamem), co najwyżej przenosimy do innego lub nowego tematu. W wątku rozwinęła się dyskusja na temat różnych systemów 2FA, można by to teoretycznie przenieść do nowego tematu, ale to się przeplata z rozmową o kradzieży.

Po kontakcie z BB w przypadku braku któregoś z kodów mogli podać mi tylko jeden, ten który przychodzi na maila od nich.

Ależ ja nie mówiłem, że BB ma dostęp do obu kodów. Mówiłem, że Skycash (albo firma odpowiedzialna za wypłaty, jeżeli to nie jest obsługiwane bezpośrednio przez Skycash) sam generuje oba kody i jeden przekazuje nam, a drugi BB.

[amneziahaze]

Na starcie chcemy zdementować by ktokolwiek z zespołu BB mieszał coś na koncie @constantine.

Nie w tym rzecz. Chodzi raczej o to, że od przejścia z 2.0 na 3.0 dzieją się dziwne rzeczy na Bitbay'u, zresztą wcześniej też się działy, lecz w znacznie mniejszej skali.

Temat wyczerpany.

Chyba jednak nie. Z giełd korzystają nie tylko informatycy albo programiści. Nie rozumiem tego, że, abstrahując od tego czy klient giełdy włączył podwójne zabezpieczenie czy nie, z góry jest pewnik i założenie gość popełnił błąd i basta.

Próbowałem korzystać z Bitbay 3.0, najpierw nie czytało haseł, później nie mogłem się zalogować, później po zalogowaniu wyskakiwały mi informacje, że ktoś się logował coś tam coś tam, a teraz czytam od deski do deski obserwowany temat i przecież widzę co ludzie tam wypisują.

Dlatego aktualnie jestem na nie, zresztą wcześniej też działy się jakieś cuda, także ja sobie odpuszczam na jakiś czas, póki nie zacznie to działać normalnie.

[Sawran]

Dziś się stało to samo u mnie (przed chwilą napisałem do BB początek adresu ip 181.), powiadomienie na maila o resecie hasła, gdy wszedłem na konto nie było już wiadomości była w koszu. Później kosz został opróżniony. Dzięki aplikacji poczty na telefonie zareagowałem szybko wchodząc na BB i dodając autoryzację google i zmieniając hasła bb i poczty chyba dzięki temu nie zostałem okradziony, głupie szczęście. Dziwne jest to że z zamiłowania, zawodu i wykształcenia jestem informatykiem. Dbam o zabezpieczenie komputera za pomocą zapory, antywirusa i osobnej aplikacji do keyloggerow i phishingu. Mimo tego ktoś miał dostęp do maila i BB, dziwne. Skaner antywirusowy nic nie wykrył, zapora nie pokazuje dziwnych ruchów z zewnątrz. A jest to jedyny sprzęt na którym się loguje. Dodatkowo nie korzystam z internetu wifi na tym komputerze żeby uniknąć zeskanowania haseł z sieci wifi. Może BB coś powie bo jest to coś naprawdę niepokojącego.

[bastianstola]

W jakiej domenie adres email?

[Sawran]

W jakiej domenie adres email?

Nie ważne.

[bastianstola]

To sie okaże czy ważne, czy nie ważne

[Sawran]

Bitbay ?

[pm7]

W jakiej domenie adres email?

Nie ważne.

Oj raczej ważne, skoro to napisałeś:

gdy wszedłem na konto nie było już wiadomości była w koszu

To wyraźnie oznacza, że ktoś Ci się włamał na pocztę.

[Sawran]

...

pm7 Z tą pocztą to oczywiste ale dodatkowo było też logowanie na BB które było w historii napisałem do suportu BB ale do dzisiaj nie było odpowiedzi, poczekam dzisiaj bo możliwe że to przez weekend. Dla tamtej osoby nie odpowiedziałem bo wydało mi się to podejrzane że osoba z jednym postem akurat tu i parę minut po tej sytuacji pyta mnie na forum akurat w tym dziale i temacie z jakiej poczty korzystam.

[amneziahaze]

Dla tamtej osoby nie odpowiedziałem bo wydało mi się to podejrzane że osoba z jednym postem akurat tu i parę minut po tej sytuacji pyta mnie na forum akurat w tym dziale i temacie z jakiej poczty korzystam.

Zdążyłem naliczyć tu w tym wątku 3 osoby z identycznym problemem, mnie też ktoś rzekomo wlazł, tak poinformowała mnie informacja na nowej 3.0 uznałem to za zwykły bug. Mam konta na wielu giełdach, różne hasła i mogą mi naskoczyć, bo nie trzymam pieniędzy na giełdach i gram transzami, które zakładam mogą mi przepaść, niewielka strata ogółem. Jednak ciężko mi będzie uwierzyć w to, że nagle wyciekły hasła z różnych kont pocztowych. Nie bądźmy naiwni.

Mam swoją teorię co się stało, ale jako że nie mam dowodów to nie będę wyjeżdżał z pełnym arsenałem.

Z tą pocztą to oczywiste

Nie, nie jest oczywiste, przynajmniej dla mnie nie jest, ponieważ primo byłoby jakieś info albo poszlaki, że coś się niedobrego stało, mamy media społecznościowe i nie jest tak anonimowo jak kiedyś, wszystko w mgnieniu oka pojawia się w sieci, mam na myśli powtarzalne zjawiska.

Inna kwestia, skoro ktoś pakuje porządną kasę na giełdę to co to za problem zmienić sobie hasła raz na pół roku albo zabezpieczyć się podwójnie? Jest ta opcja na większości giełd, więc nie rozumiem albo jest problem, albo go nie ma i robienie tajemnicy z tego której poczcie wypływają hasła jest nierozsądne, bo dla wszystkich to by była cenna informacja.

[Sawran]

amneziahaze

- Poczta była o2.pl
- Podwójne zabezpieczenie miałem jak i na innych giełdach ale w BB przestało mi działać, wpisywałem kod a mimo tego na BB pokazywało informację że wpisuje nieprawidłowy kod. Napisałem do suportu i zmienili mi z google auth na autoryzacje email.
-Po trzecie i najdziwniejsze. broniąc się przed jakim kol wiek wypłynięciem informacji z moim logowaniem do poczty zawsze i od ręki usuwam wszelkie informacje z giełd. Potwierdzenia logowania itd. Żeby haker po uzyskaniu dostępu do konta email nie wiedział w jakiej giełdzie szukać mojej kasy. Więc dziwne jest to że ktoś wszedł i zaczął resetować hasła akurat do BB.