Efekty braku włączonego 2FA na poczcie i na giełdzie

[constantine]

Faktycznie troszkę niepotrzebnie wdaję się z wami w tę wymianę. Tylko tak myślę, że na kolejne wątpliwości, na które odpowiem pojawią się kolejne...etc.
Napisałem, że traktuję forum informacyjnie - napisałem o sytuacji, tak jak ludzie piszą o sytuacji "korekty" środków na koncie BB w innym wątku. Czy oni oczekują od forumowiczów pomocy? Może chcą zobaczyć czy ktoś ma podobny case? Czy chcą giełdę oczernić? A może oczekują wyjaśnień od giełdy (?)
Nie bardzo rozumiem jak moglibyście mi pomóc w sprawie? Poza wyrażeniem opinii, które mniej/bardziej pomocne, ale zawsze będą podzielone.
Ktoś ma "świetnego" technika który sprawdzi mój PC? Bo wiadomo, że trzeba to zrobić.
Ktoś ma znajomości w komendzie, wydział d/s cyberprzestępczości, żeby nie olali mojej sprawy? Bo wiadomo, że będzie to tam ktoś prowadził.
A może ktoś ma znajomości na tej giełdzie i potwierdzi na mur beton, że to co np. podają w sprawie jest prawdą?
Maximus - zapomniałeś o jednym szczególe: ktoś poza pocztą mail musiał jeszcze znać moje hasło na BB.
Temat możecie zamykać, nie zamykać, jak rozumiem to jest decyzja moda/admina.

[rav3n_pl]

ktoś poza pocztą mail musiał jeszcze znać moje hasło na BB.

1. Jest to możliwe jeżeli miałeś keyloggera
2. Nie jest to konieczne, jeżeli miał dostęp do poczty i zrobił reset hasła (po czym oczywiście korespondencję wykasował).
Pisz do BB o szczegóły widoczne z ich strony.

[ekonokomik]

Jako, że nie przedstawiłeś żadnej dokumentacji to prywatnie uważam, że straciłeś środki z powodu nie zachowania należytej staranności: system Windows, beznadziejna skrzynka pocztowa, brak 2FA na odrębnym urządzeniu.

A czy giełda uprzedziła, że nie wolno z niej korzystać na urządzeniach z systemem Windows i odmówiła rejestracji, gdy użytkownik podał "beznadziejny" email?

Nawiasem mówiąc nie przekonują mnie porównania do kont bankowych i orzeczeń w tych sprawach, chcąc posługiwać się kryptowalutami należy najpierw podjąć wysiłek edukacyjny.

Czy giełda o tym poinformowała, wskazując odpowiedni spis lektur i żądając potwierdzenia, że przyszły jej użytkownik się z nimi zapoznał?

To nie są złośliwe pytania. Takie może zadać sąd, gdybyś jako obrońca giełdy przedstawił te zabawne argumenty w sądzie.

[constantine]

ktoś poza pocztą mail musiał jeszcze znać moje hasło na BB.

1. Jest to możliwe jeżeli miałeś keyloggera
2. Nie jest to konieczne, jeżeli miał dostęp do poczty i zrobił reset hasła (po czym oczywiście korespondencję wykasował).
Pisz do BB o szczegóły widoczne z ich strony.

1. i 2. Masz rację, niestety
Jestem w stałym kontakcie z BB.

[Harey]

To nie są złośliwe pytania. Takie może zadać sąd, gdybyś jako obrońca giełdy przedstawił te zabawne argumenty w sądzie.

Czy zabawne? Wszystko możliwe. Odpowiem Tobie inaczej, jak poszkodowany udowodni, że rzeczywiście jest poszkodowanym? Ktoś zalogował się na giełdę i autoryzował zgodnie z procedurami i przelał gdzieś środki. Skąd wiadomo, że adres nie należy do właściciela konta?

[KryptoBanita]

@constantine
Nie reaguj nerwowo, tylko weź poprawki na to co Ci różni użytkownicy odpisują - ogólnie nikt nie chce Ci źle, ale tutaj często siedzą "indywidualności" lub zwykli wariaci jak ja

Nie przejmuj się - bardzo dobrze, że piszesz! Takie tematy są bardzo pomocne - w przyszłości mogą niejednemu uratować 4 litery!

[grzgrzgrz3]

@constantine

Czy masz zapamiętane dane logowania w przeglądarce? Samych keyloggerów już się nie stosuję, chyba, że jest robiony atak ukierunkowany w konkretną osobę, wąską grupę osób.

Nie zapamiętywanie haseł w przeglądarce ustrzeże nas przed większością ataków. Nawet jak trafimy do jakiegoś botnetu to będziemy jednym z tysięcy ofiar, nasze logi będą razem z gigabajtami innych danych. Dlatego najprostszym sposobem na wyłuskanie danych logowania jest pobranie zapamiętanych haseł z najpopularniejszych przeglądarek. Później prosty grep po logach i atakujący ma co chce.

[hehehehe]

A'propos opcji z resetem hasła na giełdę to finex ma na taką ewentualność zabezpieczenie w postaci 5 dni blokady wypłat po zmianie hasła.Trochę hardcorowe ale na pewno skuteczne.

[ShadowOfHarbringer]

Litości...nie oczekuję, że ktoś mi tu pomoże! Traktuję to forum p/w informacyjnie.

system Windows, beznadziejna skrzynka pocztowa, brak 2FA na odrębnym urządzeniu.

Temat wyczerpany.

Windows to jest system do zabawy a nie do poważnych działań.

[wrip]

Można stosować managery haseł ale w postaci: zapisane hasło w managerze + dopisywany ręcznie suffix.

[ekonokomik]

Litości...nie oczekuję, że ktoś mi tu pomoże! Traktuję to forum p/w informacyjnie.

system Windows, beznadziejna skrzynka pocztowa, brak 2FA na odrębnym urządzeniu.

Temat wyczerpany.

Windows to jest system do zabawy a nie do poważnych działań.

Jeśli przez "poważne działania" rozumiesz nadzór nad systemem bojowym głowic jądrowych, albo lot na Marsa, to pełna zgoda. Ale niepoważne jest twierdzenie, że Kowalski jest sam sobie winien, bo do korzystania z serwisu transakcyjnego używał systemu operacyjnego, który jest obecny na ponad 80% komputerów domowych.
Zakładam oczywiście, że to w miarę nowa wersja z aktualizacjami.

A jeśli faktycznie miałaby to być luka bezpieczeństwa przy handlu BTC, to stanowczo serwis powinien o tym uprzedzać wielkimi mrugającymi literami.

[ShadowOfHarbringer]

system Windows, beznadziejna skrzynka pocztowa, brak 2FA na odrębnym urządzeniu.

Temat wyczerpany.

Windows to jest system do zabawy a nie do poważnych działań.

Jeśli przez "poważne działania" rozumiesz nadzór nad systemem bojowym głowic jądrowych, albo lot na Marsa, to pełna zgoda.

Kilka spraw.

1. Systemy wojskowe mają customowe wersje Windowsów oraz dostęp do kodu źródłowego od Microsoftu. Więc to nie jest taki sam windows jak u kowalskiego
2. Wojsko (jak i NASA) generalnie jedzie na przestarzałych (bo sprawdzonych) technologiach, więc jeżeli Linux jest nawet od 10 lat lepszy i bezpieczniejszy, to minie jeszcze 5-10 lat zanim wojsko na niego przejdzie. Ostatnio słyszy się też o przejściach wojska na Linuksa
3. Wszystkie systemy wojskowe są i tak zamknięte z zewnątrz, więc przez Internet się nie włamiesz, a dostępu fizycznego nie uzyskasz - bo wojsko. Więc nie jest to żadnym problemem.

Więc ten, tak jakby nie masz tutaj argumentu.

Tak samo jest z bankomatami - do dzisiaj jadą na windzie sprzed 15 lat, bo po prostu nikomu nie chciało się tego aktualizować, system jest zamknięty z zewnątrz a jak coś działa i jest sprawdzone to się tego nie rusza.

[constantine]

Jeśli mogę coś wtrącić, to moim zdaniem wątek nie jest wyczerpany do czasu zakończenia postępowania na policji etc.
Nie mogę podawać szczegółów sprawy do czasu zakończenia tego postępowania. Forum czytają różne osoby, dlatego ograniczam wiadomości do tego co w moim przekonaniu mi nie zaszkodzi w sprawie.
Jeśli ktoś ma wątpliwości co do mojej uczciwości w sprawie, to mogę jedynie wyrazić, że jest mi z tego powodu przykro, ale nie będę na publicznym forum niczego siłowo udowadniał.
Jeśli chodzi o system zabezpieczeń BB, to muszę przyznać, że Mod tego wątku zdał mi sprawę z b.ważnej rzeczy: logowanie dwustopniowe za pośrednictwem poczty mail jest kompletnie iluzoryczne!!! Wystarczy, że złodziej ma dostęp do twojej skrzynki mail, reszta jest już prosta jak rogalik. Za to - mimo nieporozumień między nami - Bardzo mu Dziękuję.
Jeśli macie takie ustawienie logowania, to może zastanówcie się nad zmianą na GA (?). Przypadki mój i drugiego kolegi proszę traktować jako przestrogę.
Jeśli natomiast @BitaBay czuje się moimi wpisami jakkolwiek pokrzywdzona, to niech się wypowie.
Ja nikogo tutaj nie namawiam na trzymanie lub zabranie środków z tej giełdy. Podaję informacje i moje zdanie na ten temat. Ktoś czyta, wyrabia sobie swoje zdanie i chyba tak powinno to działać (czy nie?).
Ze swojej strony od instytucji (bank, giełda etc.), której powierzam jakiekolwiek pieniądze oczekuję, że określi taką drogę logowania, żeby środki były bezpieczne. Może oczekuję zbyt wiele. W tym przypadku wystarczył dostęp do mail. To chyba zbyt proste.
Zakładając konto w banku nie muszę być specem od zabezpieczeń - to bank ma mieć speców. Ja mogę być kompletnym debilem. Debile też mają pieniądze.
Jeśli oddaje dziecko do szkoły, to oczekuję, że w czasie zajęć będzie bezpieczne. Nie muszę się znać na procedurach szkoły w razie niebezpieczeństwa. W tym czasie to szkoła ma zapewnić bezpieczeństwo. Jeśli mam wątpliwości co do bezpieczeństwa zmieniam szkołę. W tym przypadku mam poważne wątpliwości.

[silv7r]

Z punktu widzenia giełdy zostało wykonana prawidłowe logowanie, transakcja i potwierdzona wypłata.
To, że Twoje konto pocztowe było przejęte przez "kogoś" ORAZ ten "ktoś" znał Twój login i hasło - ma być winą GIEŁDY?
Ty nadal uważasz, że to ICH wina?
Temat powinien trafić jako przyklejony w przedszkolu z tematem "jak można dać się okraść".
PW często są zgłaszane do moderacji - żeby przekazać moderatorom drugie dno dyskusji w wątku. W tym przypadku jest identycznie - przemilczałeś KLUCZOWE dla sprawy informacje.

rav3n_pl Nie masz racji. To że kradzież nastąpiła jest faktem. Czy kradzież wynikła z winy użytkownika czy z winy giełdy/poczty to druga sprawa.

Na e-mail miałem takie samo hasło. Włamanie nastąpiło tylko do BB i czego jeszcze nie mogę potwierdzić na pocztę (onet nie udziela informacji nawet właścicielowi poczty....). Nie mówiąc o tym że zabezpieczenie z wysłaniem e-mail jest dobrowolne.

Nie wykluczaj tutaj odpowiedzialności giełdy bo przecież, mają wgląd do hasła i do nazwy e-mail.....

Może to i nie winna giełdy ale według prawa to oni wypłacali (obowiązkiem ich jest weryfikacja) i zabezpieczali środki. Nawet jak by zawinił użytkownik (co jest ciężko do udowodnienia) to oni odpowiadają. Tak jak banki, tylko banki są ubezpieczone od kradzieży.... Zobaczymy zresztą co na to adwokat powie.

[rav3n_pl]

Nie wykluczaj tutaj odpowiedzialności giełdy bo przecież, mają wgląd do hasła i do nazwy e-mail.....

A po co? Przecież giełda ma dostęp DO WSZYSTKIEGO, nie musi się nawet logować, po prostu robi odpowiednie transakcje w bazie i po krzyku.

ale według prawa to oni wypłacali (obowiązkiem ich jest weryfikacja) i zabezpieczali środki.

Jeżeli złodziej zrobił weryfikację bo miał dostęp, co CO JESZCZE giełda ma zrobić? Dzwonić przy każdej transakcji/wypłacie? Zapłacisz za taką weryfikację? Za utrzymanie sztabu ludzi 24/7 na telefonach?

Nawet jak by zawinił użytkownik (co jest ciężko do udowodnienia) to oni odpowiadają.

Przykładowy log giełdy:
- user nie może się zalogować
- wysyła żądanie resetu hasła
- żądanie zatwierdza linkiem z maila
- user loguje się
- wykonuje transakcje
- zleca wypłatę
- potwierdza wypłatę linkiem w maliu
- wylogowuje sie

SKĄD giełda ma wiedzieć, że to jest user albo złodziej?

[silv7r]

Nie wykluczaj tutaj odpowiedzialności giełdy bo przecież, mają wgląd do hasła i do nazwy e-mail.....

A po co? Przecież giełda ma dostęp DO WSZYSTKIEGO, nie musi się nawet logować, po prostu robi odpowiednie transakcje w bazie i po krzyku.

ale według prawa to oni wypłacali (obowiązkiem ich jest weryfikacja) i zabezpieczali środki.

Jeżeli złodziej zrobił weryfikację bo miał dostęp, co CO JESZCZE giełda ma zrobić? Dzwonić przy każdej transakcji/wypłacie? Zapłacisz za taką weryfikację? Za utrzymanie sztabu ludzi 24/7 na telefonach?

Nawet jak by zawinił użytkownik (co jest ciężko do udowodnienia) to oni odpowiadają.

Przykładowy log giełdy:
- user nie może się zalogować
- wysyła żądanie resetu hasła
- żądanie zatwierdza linkiem z maila
- user loguje się
- wykonuje transakcje
- zleca wypłatę
- potwierdza wypłatę linkiem w maliu
- wylogowuje sie

SKĄD giełda ma wiedzieć, że to jest user albo złodziej?

No więc jak mają nie ograniczony dostęp to też zawsze mogą powiedzieć że to złodziej okradł jakiś a nie oni (nie sugeruje tego oczywiście ale wykluczyć nie może tej opcji nikt) chyba że kod potwierdzający przyszedł by np. na telefon.

Co mają jeszcze zrobić by weryfikować transakcje? Mogą się np ubezpieczyć jak bankito ich problem w jaki sposób weryfikują autentyczność osób i zabezpieczają transakcje. Jak policja ustali że to nie ja fizycznie wypłaciłem środki a sąd uzna że weryfikacja osób wypłacających środki leży po ich stronie , to odpowiedzialność spadnie na nich.

Wiem że zaraz podniesiesz logiczny argument że nie trzeba było korzystać z giełdy jak Ci nie odpowiadała ale mówię tu jak z punktu widzenia PRAWA może to wyglądać.
Zresztą tak samo można powiedzieć klientom banków co zostali okradzeni że po co trzymali pieniądze w tym banku a nie innym lub w skarpecie a odszkodowania jakoś mają wypłacane.

[ekonokomik]

Jak policja ustali że to nie ja fizycznie wypłaciłem środki a sąd uzna że weryfikacja osób wypłacających środki leży po ich stronie , to odpowiedzialność spadnie na nich.

Skoro nie ma idealnego sposobu weryfikacji, to sąd może zdecydować co najwyżej, czy dochowano "należytej staranności" po każdej ze stron. Ale jako nie-prawnik, nie mam pojęcia jak definiuje się ten termin. Pewnie jako sposób współmierny do wartości wykonywanej usługi/operacji.

Ale jest jeszcze jedna rzecz: wcześniej podawałem przykłady wygranych procesów klient vs bank. Ale trochę się zapędziłem, bo działalność bankowa jest regulowana odrębnymi ustawami. Więc mimo, że logika podpowiada, że w podobnych sprawach należy stosować podobne rozumowanie i argumenty, to przy sporze klient vs "zwykła spółka" może to być prawnie zupełnie inaczej.

Tak czy inaczej, prośba do poszkodowanych aby podzielili się informacjami jak się ich sprawy potoczyły.

[redbog]

Zakładając konto w banku nie muszę być specem od zabezpieczeń - to bank ma mieć speców. Ja mogę być kompletnym debilem. Debile też mają pieniądze.

Niestety infrastruktura około kryptowalutowa dopiero co wyszła z okresu geeków komputerowych na tym etapie żeby w miare bezpiecznie korzystać z krypto musisz znać sie chociaż na podstawach bezpieczeństwa. Dodam że klientów banków też okradają i to dużo bardziej wyrafinowanymi metodami tylko po padnięciu ofiarą takiego włamań najczęściej bank pokrywa stratę oczywiście nie za darmo bo kosztem zwrócenia kasy są obciążeni wszyscy klienci.

Giełda rzeczywiście mogłaby wymusić używanie GA oraz wyraźnie ostrzegać że 2fa na maila który jest zabezpieczony tylko hasłem jest śmiechem na sali. Dodatkowo mogłaby wyraźnie zalecać używania dedykowanego komputera/laptopa z systemem operacyjnym Linux do giełd i transakcji krypto. Można było by wymieniać więcej możliwości żeby lepiej sie zabezpieczyć np. u2f (sprzętowe uwierzytelnianie).
Giełdy pewnie obawiają sie że takie restrykcyjne podejście odstraszy część klientów.

[liseklsk]

Nawet jeżeli gościa złapią to jako kradzież raczej nie przejdzie.
"Dzisiaj w Polsce, od strony prawnej, BTC nie jest jednak pieniądzem, ani rzeczą, ani walutą obcą, ani instrumentem finansowym — z powodu braku regulacji trudno jest przyporządkować go do znanych prawu pojęć. Problemy z klasyfikacją BTC na gruncie prawa cywilnego przekładają się również na problemy z właściwą kwalifikacją „kradzieży” tej kryptowaluty na gruncie prawa karnego."
Więc ewentualnie można policji zgłosić przestępstwo z dwóch innych paragrafów niż kradzież:
'Art. 267 § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2."
"Art. 287 § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5."

Jeszcze dodam do tego jedną rzecz iż w ostatnim czasie miałem próby włamania na 3 giełdy. Między innymi CEX.IO przychodziły mi maile o próbach logowań wraz z podanym adresem IP(na szczęście mam GA na każdej giełdzie oraz poczcie i ogólne gdzie się da :p ) wszystkie adresy IP pochodziły z Rosji bądź Ukrainy. Przed chwilą miałem próbę logowania na stronę https://block.io/, również adres IP z rosji. Podaję go w wątku może się przyda w tym temacie widać że ostatnio są jakieś zmasowane próby włamań na konta. Jak znajdę resztę adresów z których próbowano się włamać to również podam.
Adres IP z dzisiejszej próby: 62.117.109.170
Kraj: Russia
Region: Moscow Oblast
Miasto: Krasnogorsk
Dostawca Internetu (ISP): OJSC Comcor
Internet mobilny: Nie
Ewentualnie niech @BitBay zerknie czy czasem ten adres IP się też nie pojawiał, poszukam reszty adresów IP i puszczę PW
Dodatkowo kiedyś miałem również próbę logowania na BB jak była jeszcze w wersji 2.0 uzyskałem od supportu adres IP i również był od naszych wschodnich sąsiadów. A dla OPa oprócz włączenie gdzie się da GA polecam kasować całą korespondencję, którą otrzymujemy od giełd po jej przeczytaniu czy użyciu.

[Harey]

Dodam że klientów banków też okradają

Przyznam się szczerze, że to porównanie wydaje mi się wyjątkowo nietrafione. Dlaczego?
Ot taka... schizofrenia. Jako zalety kryptowalut chętnie wymienia się ananiowość/pseudoanonimowość a przede wszystkim to, że nikt nie ma dostępu i nie może nam zająć zdeponowanych środków. A w razie W fajnie, żeby jednak ktoś się opiekował, pomógł i pogłaskał po główce?

Z technicznego punktu widzenia nawet nie próbujmy porównywać banku z hasełkiem sms i jednocześnie mrugającym banerem na głównej stronie o infekcjach telefonów, które doprowadzają do jego przechwycenia (komedia!) do dobrych giełd.
Przykładowo Bitfinex - klucz fizyczny U2F, poczta szyfrowana PGP i kilka pomniejszych zabezpieczeń - jeżeli użytkownik to wykorzysta a dodatkowo skorzysta z Linux, czyli zachowa należytą staranność to od strony usera nie ma prawa się nic wydarzyć. Haker musiałby być naprawdę dobry i poświęcić zbyt wiele nakładów a w tym czasie przechwyci 1k kont userów, którzy mają wszędzie hasło *upa i cieknącą od trojanów windę.

Tak więc apeluję, stop schizofrenii! Przyjmijmy po męsku kryptowaluty takie jakimi są "z dobrodziejstwem inwentarza". Kilka giełd (w razie bankructwa), wykorzystanie świetnych zabezpieczeń, które oferują na max i będzie OK. A jak komuś nie odpowiada ta bajka, to zawsze może kupić obligacje na wysoki procent