Efekty braku włączonego 2FA na poczcie i na giełdzie
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
-
Strona 6 z 36
- Przejdź do strony:
- Poprzednia
- 1
- …
- 4
- 5
- 6
- 7
- 8
- …
- 36
- Następna
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: The Real McCoin » czwartek, 5 października 2017, 08:58
https://forum.bitcoin.pl/viewtopic.php? ... 64#p298264
The Real McCoin
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: pm7 » czwartek, 5 października 2017, 10:55
To nie jest dobra opcja do oferowania. Bezpieczeństwo operatorów telefonicznych leży. Znane są przypadki, że wystarczy dobrą historię przygotować i support operatora przekierował SMS do złodzieja.
https://blog.kraken.com/post/219/securi ... le-phones/
https://www.schneier.com/blog/archives/ ... _long.html
NIST is no longer recommending two-factor authentication systems that use SMS, because of their many insecurities. In the latest draft of its Digital Authentication Guideline, there's the line:
[Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.
Giełda oferuje bezpieczniejszą metodę weryfikacji (Google Authenticator). Jeżeli użytkownik nie aktywował tego, to trzeba uznać, że zgadza się na weryfikację przez maila. Ta weryfikacja została wykonana, więc gdzie tu wina giełdy?silv7r pisze: Co mają jeszcze zrobić by weryfikować transakcje? Mogą się np ubezpieczyć jak bankito ich problem w jaki sposób weryfikują autentyczność osób i zabezpieczają transakcje. Jak policja ustali że to nie ja fizycznie wypłaciłem środki a sąd uzna że weryfikacja osób wypłacających środki leży po ich stronie , to odpowiedzialność spadnie na nich.
Tak z ciekawości, w jaki sposób wysłanie kodu potwierdzającego na telefon miałoby udowodnić, że giełda nie popełniła kradzieży? Przecież jako wysyłający znaliby kod, jaki wysyłają
pm7
- Orator
- Posty: 702
- Rejestracja: 16 czerwca 2017
- Reputacja: 202
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: liseklsk » czwartek, 5 października 2017, 13:09
Dlatego bardo dobre rozwiązanie ma @BitBay w kwestii wypłaty pieniędzy w bankomatach. Jeden pin dostajemy mailem od BB a drugi pin dostajemy smsem od skycasha, jest to właśnie poczynione ze względów bezpieczeństwa żeby osoba z którejś z tych dwóch instytucji nie przywłaszczyła sobie pienędzy, wiadomo że wszędzie pracują "tylko" ludzie. Uważam że bb jest zabezpieczone w należyty sposób i w tym przypadku, który jest tutaj opisywana niestety wina leży po stronie użytkownika. Gdyby to było włamanie na giełdę tak jak kiedyś np. na bm przez bramkę szybkich płatności to sprawa by wyglądała inaczej i podejrzewam że użytkownik dawno by odzyskał swoje środki a bb szukał sprawcy.pm7 pisze:To nie jest dobra opcja do oferowania. Bezpieczeństwo operatorów telefonicznych leży. Znane są przypadki, że wystarczy dobrą historię przygotować i support operatora przekierował SMS do złodzieja.
https://blog.kraken.com/post/219/securi ... le-phones/
https://www.schneier.com/blog/archives/ ... _long.htmlNIST is no longer recommending two-factor authentication systems that use SMS, because of their many insecurities. In the latest draft of its Digital Authentication Guideline, there's the line:
[Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.
Giełda oferuje bezpieczniejszą metodę weryfikacji (Google Authenticator). Jeżeli użytkownik nie aktywował tego, to trzeba uznać, że zgadza się na weryfikację przez maila. Ta weryfikacja została wykonana, więc gdzie tu wina giełdy?silv7r pisze: Co mają jeszcze zrobić by weryfikować transakcje? Mogą się np ubezpieczyć jak bankito ich problem w jaki sposób weryfikują autentyczność osób i zabezpieczają transakcje. Jak policja ustali że to nie ja fizycznie wypłaciłem środki a sąd uzna że weryfikacja osób wypłacających środki leży po ich stronie , to odpowiedzialność spadnie na nich.
Tak z ciekawości, w jaki sposób wysłanie kodu potwierdzającego na telefon miałoby udowodnić, że giełda nie popełniła kradzieży? Przecież jako wysyłający znaliby kod, jaki wysyłają
liseklsk
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: pm7 » czwartek, 5 października 2017, 13:57
Ale wiesz, że oba te PIN-y są generowane przez Skycash, czy jakąś inną instytucję obsługującą te wypłaty?liseklsk pisze: Dlatego bardo dobre rozwiązanie ma @BitBay w kwestii wypłaty pieniędzy w bankomatach. Jeden pin dostajemy mailem od BB a drugi pin dostajemy smsem od skycasha, jest to właśnie poczynione ze względów bezpieczeństwa żeby osoba z którejś z tych dwóch instytucji nie przywłaszczyła sobie pienędzy
pm7
- Orator
- Posty: 702
- Rejestracja: 16 czerwca 2017
- Reputacja: 202
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: liseklsk » czwartek, 5 października 2017, 17:00
Jeden pin przez skycash a jeden przez BBpm7 pisze:Ale wiesz, że oba te PIN-y są generowane przez Skycash, czy jakąś inną instytucję obsługującą te wypłaty?liseklsk pisze: Dlatego bardo dobre rozwiązanie ma @BitBay w kwestii wypłaty pieniędzy w bankomatach. Jeden pin dostajemy mailem od BB a drugi pin dostajemy smsem od skycasha, jest to właśnie poczynione ze względów bezpieczeństwa żeby osoba z którejś z tych dwóch instytucji nie przywłaszczyła sobie pienędzy
liseklsk
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: pm7 » czwartek, 5 października 2017, 18:03
Jeżeli brakującym słowem jest "generowany", to się nie zgadzam. Oba są niewątpliwie generowane przez ten sam podmiot i przekazywane do Ciebie różnymi drogami (przez różne firmy).
pm7
- Orator
- Posty: 702
- Rejestracja: 16 czerwca 2017
- Reputacja: 202
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: liseklsk » czwartek, 5 października 2017, 18:13
Możesz się nie zgadzać to już Twój problem nie mój. Kontaktowałem się wielokrotnie z BB czy skycash i w przypadku braku wiadomości z którymś pinem wiem coś na ten temat, a jeżeli już tak się czepiasz mojej pisowni to również Twoje zdanie jest bez sensu. Pierwsza część jest twierdząca po przecinku pytasz o to samo co w pierwszej części stwierdziłeś.pm7 pisze: @liseklsk, pisz po polsku, bo nie wiadomo o co Ci chodzi (brak czasownika, brak kropki lub znaku zapytania na końcu).
Jeżeli brakującym słowem jest "generowany", to się nie zgadzam. Oba są niewątpliwie generowane przez ten sam podmiot i przekazywane do Ciebie różnymi drogami (przez różne firmy).
liseklsk
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: pm7 » czwartek, 5 października 2017, 18:22
To może się podziel tą wiedzą? Na jakiej podstawie twierdzisz, że to BB generuje jeden z PIN-ów do wypłaty w bankomacie?
Proponuję, żebyś przeczytał jeszcze raz moją wypowiedź. Napisałem, że Twoja wypowiedź jest niejednoznaczna, a następnie założyłem o co Ci mogło chodzić i na to odpowiedziałem.
pm7
- Orator
- Posty: 702
- Rejestracja: 16 czerwca 2017
- Reputacja: 202
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: liseklsk » czwartek, 5 października 2017, 18:28
Wydaje mi się że w tym momencie robimy śmietnik z wątku. Czy ta przepychanka me sens?Dlatego proszę Cię jako moderatora usuń to co niepotrzebne. Po kontakcie z BB w przypadku braku któregoś z kodów mogli podać mi tylko jeden, ten który przychodzi na maila od nich.pm7 pisze:To może się podziel tą wiedzą? Na jakiej podstawie twierdzisz, że to BB generuje jeden z PIN-ów do wypłaty w bankomacie?
Proponuję, żebyś przeczytał jeszcze raz moją wypowiedź. Napisałem, że Twoja wypowiedź jest niejednoznaczna, a następnie założyłem o co Ci mogło chodzić i na to odpowiedziałem.
Widzę że moderacja tu stoi na wysokim poziomie xD. Sam zaczynasz jakieś przepychanki i mnie minusujesz. Idź sobie herbatkę wypij
liseklsk
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: pm7 » czwartek, 5 października 2017, 18:32
Ależ ja nie mówiłem, że BB ma dostęp do obu kodów. Mówiłem, że Skycash (albo firma odpowiedzialna za wypłaty, jeżeli to nie jest obsługiwane bezpośrednio przez Skycash) sam generuje oba kody i jeden przekazuje nam, a drugi BB.
pm7
- Weteran
- Posty: 4918
- Rejestracja: 31 stycznia 2013
- Reputacja: 2772
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: amneziahaze » czwartek, 5 października 2017, 19:35
Nie w tym rzecz. Chodzi raczej o to, że od przejścia z 2.0 na 3.0 dzieją się dziwne rzeczy na Bitbay'u, zresztą wcześniej też się działy, lecz w znacznie mniejszej skali.Na starcie chcemy zdementować by ktokolwiek z zespołu BB mieszał coś na koncie @constantine.
Chyba jednak nie. Z giełd korzystają nie tylko informatycy albo programiści. Nie rozumiem tego, że, abstrahując od tego czy klient giełdy włączył podwójne zabezpieczenie czy nie, z góry jest pewnik i założenie gość popełnił błąd i basta.
Próbowałem korzystać z Bitbay 3.0, najpierw nie czytało haseł, później nie mogłem się zalogować, później po zalogowaniu wyskakiwały mi informacje, że ktoś się logował coś tam coś tam, a teraz czytam od deski do deski obserwowany temat i przecież widzę co ludzie tam wypisują.
Dlatego aktualnie jestem na nie, zresztą wcześniej też działy się jakieś cuda, także ja sobie odpuszczam na jakiś czas, póki nie zacznie to działać normalnie.
amneziahaze
- Początkujący
- Posty: 106
- Rejestracja: 16 maja 2017
- Reputacja: 14
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: Sawran » sobota, 4 listopada 2017, 19:20
Sawran
- Początkujący
- Posty: 2
- Rejestracja: 2 listopada 2016
- Reputacja: 0
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: bastianstola » sobota, 4 listopada 2017, 19:37
bastianstola
Sawran
- Początkujący
- Posty: 2
- Rejestracja: 2 listopada 2016
- Reputacja: 0
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: bastianstola » sobota, 4 listopada 2017, 21:01
bastianstola
- Początkujący
- Posty: 106
- Rejestracja: 16 maja 2017
- Reputacja: 14
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: Sawran » sobota, 4 listopada 2017, 21:05
Sawran
pm7
- Początkujący
- Posty: 106
- Rejestracja: 16 maja 2017
- Reputacja: 14
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: Sawran » poniedziałek, 6 listopada 2017, 06:41
pm7 Z tą pocztą to oczywiste ale dodatkowo było też logowanie na BB które było w historii napisałem do suportu BB ale do dzisiaj nie było odpowiedzi, poczekam dzisiaj bo możliwe że to przez weekend. Dla tamtej osoby nie odpowiedziałem bo wydało mi się to podejrzane że osoba z jednym postem akurat tu i parę minut po tej sytuacji pyta mnie na forum akurat w tym dziale i temacie z jakiej poczty korzystam.
Sawran
- Weteran
- Posty: 4918
- Rejestracja: 31 stycznia 2013
- Reputacja: 2772
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: amneziahaze » poniedziałek, 6 listopada 2017, 07:37
Zdążyłem naliczyć tu w tym wątku 3 osoby z identycznym problemem, mnie też ktoś rzekomo wlazł, tak poinformowała mnie informacja na nowej 3.0 uznałem to za zwykły bug. Mam konta na wielu giełdach, różne hasła i mogą mi naskoczyć, bo nie trzymam pieniędzy na giełdach i gram transzami, które zakładam mogą mi przepaść, niewielka strata ogółem. Jednak ciężko mi będzie uwierzyć w to, że nagle wyciekły hasła z różnych kont pocztowych. Nie bądźmy naiwni.
Mam swoją teorię co się stało, ale jako że nie mam dowodów to nie będę wyjeżdżał z pełnym arsenałem.
Nie, nie jest oczywiste, przynajmniej dla mnie nie jest, ponieważ primo byłoby jakieś info albo poszlaki, że coś się niedobrego stało, mamy media społecznościowe i nie jest tak anonimowo jak kiedyś, wszystko w mgnieniu oka pojawia się w sieci, mam na myśli powtarzalne zjawiska.
Inna kwestia, skoro ktoś pakuje porządną kasę na giełdę to co to za problem zmienić sobie hasła raz na pół roku albo zabezpieczyć się podwójnie? Jest ta opcja na większości giełd, więc nie rozumiem albo jest problem, albo go nie ma i robienie tajemnicy z tego której poczcie wypływają hasła jest nierozsądne, bo dla wszystkich to by była cenna informacja.
amneziahaze
- Początkujący
- Posty: 106
- Rejestracja: 16 maja 2017
- Reputacja: 14
Zostałem okradziony - włam na giełdę przez przejęcie poczty
Postautor: Sawran » poniedziałek, 6 listopada 2017, 07:55
- Poczta była o2.pl
- Podwójne zabezpieczenie miałem jak i na innych giełdach ale w BB przestało mi działać, wpisywałem kod a mimo tego na BB pokazywało informację że wpisuje nieprawidłowy kod. Napisałem do suportu i zmienili mi z google auth na autoryzacje email.
-Po trzecie i najdziwniejsze. broniąc się przed jakim kol wiek wypłynięciem informacji z moim logowaniem do poczty zawsze i od ręki usuwam wszelkie informacje z giełd. Potwierdzenia logowania itd. Żeby haker po uzyskaniu dostępu do konta email nie wiedział w jakiej giełdzie szukać mojej kasy. Więc dziwne jest to że ktoś wszedł i zaczął resetować hasła akurat do BB.
Sawran
-
Strona 6 z 36
- Przejdź do strony:
- Poprzednia
- 1
- …
- 4
- 5
- 6
- 7
- 8
- …
- 36
- Następna
Wróć do „Giełdy i serwisy - zagrożenia”
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 16 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).