Efekty braku włączonego 2FA na poczcie i na giełdzie

Regulamin forum
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
Weteran
Awatar użytkownika
Posty: 1938
Rejestracja: 4 września 2013
Reputacja: 245
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: novymivo » poniedziałek, 20 listopada 2017, 23:50

@bartas, pare pytan :
- jaki provider skrzynki pocztowej ? wp, interia ?
- miales 2 fa ?
- korzystales z innego kompa jak wlasny w ostatnich tygodniach ?
- jakie miales zabezpieczenie tzn potw. mailem i to wszystko ?
Polskie Forum Bitcoin.pl

Początkujący
Posty: 6
Rejestracja: 12 listopada 2017
Reputacja: 9
Reputacja postu: 
5
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: bartas » wtorek, 21 listopada 2017, 00:07

- poczta o2
- nie miałem 2 fa
- nie korzystałem z innego kompa (w alertach na BB widzę IP z tej kradzieży)
- niestety tylko mailem

Na stronie BB w Bezpieczeństwo jest taka informacja:
"Gwarantem środków w walutach fiat jest bank. Dzięki temu pieniądze naszych klientów są zabezpieczone na każdą ewentualność."

Załamała mnie ta sytuacja.. Tym bardziej, że straciłem bardzo dużą sumę..

Orator
Posty: 845
Rejestracja: 3 kwietnia 2014
Reputacja: 279
Reputacja postu: 
1
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: Awesomist » wtorek, 21 listopada 2017, 00:13

Które to ostatnio włamanie na BB? Czy baza email jest na pewno bezpieczna?

Początkujący
Awatar użytkownika
Posty: 216
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
2
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: constantine » wtorek, 21 listopada 2017, 00:21

KryptoBanita pisze: PS
Ile razy było - UZYWAJ 2FA, ale nie na mail, tylko na innym urządzeniu!
PS2
Ile razy było - NIE TRZYMAJ NA GIEŁDZIE KASY!!
Przypomina mi to kopanie leżącego..
Człowiek napisał o problemie. Lepiej żeby nie pisał?
Może lepiej zaapeluj do BB żeby wprowadziła 2FA GA obowiązkowy, a nie atakuj człowieka, że (pewnie) nieświadomie popełnił błąd (?)
Pisałem na początku tego wątku, że mój (i tego drugiego usera) przypadek zapewne nie jest odosobniony, tylko nie wszyscy użytkownicy są na tym forum.
Ba - zgłaszają się do mnie inni użytkownicy BB z tym samym kłopotem. ZACHĘCAM WAS do pisania na forum. To może komuś uratować tyłek.

Weteran
Awatar użytkownika
Posty: 2592
Rejestracja: 26 września 2017
Reputacja: 932
Reputacja postu: 
1
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: KryptoBanita » wtorek, 21 listopada 2017, 04:03

Obowiązkowy 2FA, a handlować będzie można tylko w białej koszuli i czerwonym krawacie, bo inaczej system korzystający z naszej kamery do wpuści na giełdę :roll:
Kolega popełnił błąd - ja go nie kopię - sam już sobie dokopał.
Piszę zwartym, mocnym i bezpośrednim tekstem, bo może uratuje to zadek kolejnemu.
Jestem wdzięczny użytkownikom, że przyznają się do błędów, opisują jaka poczta i co prawdopodobnie zrobili źle, b to też wymaga odwagi i jest pomocne dla innych, przestrzega i edukuje.

Dodano po 5 minutach 19 sekundach:
Awesomist pisze: Które to ostatnio włamanie na BB? Czy baza email jest na pewno bezpieczna?
Baza mail ewidentnie wyciekła. Za dużo przypadków ma BB. Tym bardziej należy podjąć wszelkie zalecane przez giełdę środki ostrożności - odtworzyć 2FA na innym urządzeniu! I nie może to być kod na mail, tylko MUSI TO BYĆ GA!

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: The Real McCoin » wtorek, 21 listopada 2017, 15:02

constantine pisze: Człowiek napisał o problemie. Lepiej żeby nie pisał?
A czego się spodziewasz, jak po raz enty wrzucane jest obwieszczenie typu: "przchowywałem wartościowe dla mnie środki przy użyciu słabych zabezpieczeń i nie zgadniecie co się stało...".
Przecież to logiczne, naturalne i w zasadzie nieuniknione, że tacy ludzie zostają prędzej czy później okradzeni i tracą wszystkie swoje środki. Ile razy było już powtarzane czego nie robić a co robić? Niestety Wszechświat ma to gdzieś i nie przestaje tworzyć takich ludzi.
Zatrważające i alarmujące byłoby to, gdyby zdarzyło się, że ktoś pomimo dobrych zabezpieczeń został okradziony.
Co ciekawe jakoś takie przypadki się nie zdarzają.

Orator
Posty: 845
Rejestracja: 3 kwietnia 2014
Reputacja: 279
Reputacja postu: 
1
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: Awesomist » wtorek, 21 listopada 2017, 15:11

KryptoBanita pisze:Obowiązkowy 2FA, a handlować będzie można tylko w białej koszuli i czerwonym krawacie, bo inaczej system korzystający z naszej kamery do wpuści na giełdę :roll:
Kolega popełnił błąd - ja go nie kopię - sam już sobie dokopał.
Piszę zwartym, mocnym i bezpośrednim tekstem, bo może uratuje to zadek kolejnemu.
Jestem wdzięczny użytkownikom, że przyznają się do błędów, opisują jaka poczta i co prawdopodobnie zrobili źle, b to też wymaga odwagi i jest pomocne dla innych, przestrzega i edukuje.

Dodano po 5 minutach 19 sekundach:
Awesomist pisze: Które to ostatnio włamanie na BB? Czy baza email jest na pewno bezpieczna?
Baza mail ewidentnie wyciekła. Za dużo przypadków ma BB. Tym bardziej należy podjąć wszelkie zalecane przez giełdę środki ostrożności - odtworzyć 2FA na innym urządzeniu! I nie może to być kod na mail, tylko MUSI TO BYĆ GA!

Jeżeli ewidentnie wyciekła to dlaczego nie było komunikatu o tym? nawet głupi tekst "zmieńcie sobie hasła na pocztę, wybierajcie pocztę z 2FA" byłby rozsądnym wyjściem. Chyba, że mnie to ominęło.

Nie wspomnę już o tym, że pewnie część ludzi ma konta na wielu giełdach i jeżeli ktoś przejmie dostęp do konta na jednym to i może dobrać się innych (jezeli mail, login jest taki sam podobny np. na bittrex, polo, BM). Powinna pójść komunikacja jeżeli to prawda @BitBay możecie się wypowiedzieć?

Początkujący
Awatar użytkownika
Posty: 216
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: constantine » wtorek, 21 listopada 2017, 15:41

The Real McCoin pisze: A czego się spodziewasz, jak po raz enty wrzucane jest obwieszczenie typu: "przchowywałem wartościowe dla mnie środki przy użyciu słabych zabezpieczeń i nie zgadniecie co się stało...".
Przecież to logiczne, naturalne i w zasadzie nieuniknione, że tacy ludzie zostają prędzej czy później okradzeni i tracą wszystkie swoje środki. Ile razy było już powtarzane czego nie robić a co robić? Niestety Wszechświat ma to gdzieś i nie przestaje tworzyć takich ludzi.
Zatrważające i alarmujące byłoby to, gdyby zdarzyło się, że ktoś pomimo dobrych zabezpieczeń został okradziony.
Co ciekawe jakoś takie przypadki się nie zdarzają.
Spodziewałbym się jakiejkolwiek wrażliwości, a nie pisania typu: jesteś informatycznym gamoniem i to twój problem. Pewnie za dużo m.in. od ciebie oczekuję. Nie każdy chyba musi być ekspertem od zabezpieczeń i nie każdy, kto jest na giełdach jest na tym forum (nie lubię się powtarzać). Jak widać większość osób, która zgłasza kłopot pisze tu swoje pierwsze posty. Przez twoje t.t. wypowiedzi nie będą pisać i nikt nie będzie o tym wiedział. Jeśli o to ci chodzi, to ja nie mam pytań..
Każdy ma świetnie zabezpieczone konto, do czasu pierwszej kradzieży. Tak jak większość ludzi czuje się w swoim domu w miarę bezpiecznie.
Do czasu pierwszego włamu.

Weteran
Awatar użytkownika
Posty: 2592
Rejestracja: 26 września 2017
Reputacja: 932
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: KryptoBanita » wtorek, 21 listopada 2017, 15:56

constantine pisze: Tak jak większość ludzi czuje się w swoim domu w miarę bezpiecznie.
I dlatego otwierają drzwi każdemu kto tylko zapuka...
Poniekąd jest to winą ogólnego nastawienia, że władza Cię obroni.
Prawda jest niestety BRUTALNA.
Jedni potrafią przekazać ją delikatnie, inni jak The Real McCoin walą między oczy!
Wolałbyś głaskanie po główce i wciskanie kitu? To masz! BB uważa, że wszystko jest cacy :mrgreen:
Z dwojga złego, to ja wolę żeby ktoś wbił mi rozum do głowy nawet waląc pałą po zadzie.

PS
Ciekawy jestem jakie telefony (za ile kasy) mają Ci oszukani ludzie i którzy z nich ma portfel sprzętowy za trzy krzyże? Głupota w całej okazałości!

Początkujący
Awatar użytkownika
Posty: 216
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
2
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: constantine » wtorek, 21 listopada 2017, 19:15

OK. Panowie @KryptoBanita i @TheRealMcCoin wasze zdanie w temacie jest jasne, nie dyskutuję już z tym. Moja i innych poszkodowanych wina, że czuliśmy się zbyt bezpiecznie. Bije się w pierś. Zostawmy sprawy oczywiste.
Z innej beczki - na mail dziś odezwała się do mnie BB pisząc m.in.:
"Pana konto w chwili włamania nie było odpowiednio zabezpieczone - poprzez aplikację google authenticator, co umożliwiło osobie lub osobom dokonującym włamania na dostanie się poprzez Pana skrzynkę mailową do konta (bądź w inny sposób). Nie możemy zmuszać użytkowników giełdy do stosowania konkretnych zabezpieczeń".
Nie wiem - śmiać się czy płakać..
To ja mam pytanie: po jaką cholerę giełda w ogóle umożliwia prowadzenie konta, które zdaniem samej giełdy nie jest odpowiednio zabezpieczane logowaniem za pomocą 2FA przez pocztę? Wyobraźcie sobie, gdyby taka odp. padła od banku. Pierwsza myśl n/t takiego banku: to chyba jakieś nieporozumienie, a nie bank.
Przy rejestracji do jakiegoś portalu/giełdy etc. często są określone procedury rejestracji typu: minimalne wymagania sprzętowe, minimalna siła hasła itd. Że niby z jakiego powodu giełda nie może wprowadzić określonego minimalnego obowiązku procedury rejestracji? Jakieś kpiny.

Początkujący
Posty: 104
Rejestracja: 11 października 2017
Reputacja: 13
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: GoldenRoad » wtorek, 21 listopada 2017, 19:34

na forach związanych z bezpieczeństwem polecana jest poczta https://protonmail.com jako wysoce bezpieczna. Czy można uznać ja za bardziej bezpieczną od gmaila ? ktoś korzysta/zna i może zaopiniować ?

Wygadany
Posty: 557
Rejestracja: 4 lipca 2017
Reputacja: 203
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: Harey » wtorek, 21 listopada 2017, 19:51

GoldenRoad pisze: Czy można uznać ja za bardziej bezpieczną od gmaila ?
tak, choćby dlatego, że nie wymusza podawania telefonu jako zapasowej opcji przy 2FA. Ponadto jest szyfrowana (wg zapewnień, nawet obsługa nie ma dostępu do Twojej korespondencji), serwery w Szwajcarii, mniejsza popularność itp. Używam, polecam!

Używaj tylko do obrotu crypto (a możesz również mieć kilka skrzynek) to wydatnie zwiększa bezpieczeństwo.
2FA na ODDZIELNYM urządzeniu (np. smartfon z aplikacją google Authenticator) włącz natychmiast.

Początkujący
Posty: 104
Rejestracja: 11 października 2017
Reputacja: 13
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: GoldenRoad » wtorek, 21 listopada 2017, 20:13

Harey pisze:
GoldenRoad pisze: Czy można uznać ja za bardziej bezpieczną od gmaila ?
tak, choćby dlatego, że nie wymusza podawania telefonu jako zapasowej opcji przy 2FA. Ponadto jest szyfrowana (wg zapewnień, nawet obsługa nie ma dostępu do Twojej korespondencji), serwery w Szwajcarii, mniejsza popularność itp. Używam, polecam!

Używaj tylko do obrotu crypto (a możesz również mieć kilka skrzynek) to wydatnie zwiększa bezpieczeństwo.
2FA na ODDZIELNYM urządzeniu (np. smartfon z aplikacją google Authenticator) włącz natychmiast.

Taki właśnie mam zamiar. Dodatkowo planuje kupić telefon, który będzie używany tylko do autoryzacji (GA). Portfel do przechowywania - używam tylko typu "papper wallet". Wygenerowałem pule adresów na zapas na komputerze który nie był nigdy podłączany do internetu, po czym sformatowałem (wyzerowałem) dysk systemowy :)

Weteran
Awatar użytkownika
Posty: 2592
Rejestracja: 26 września 2017
Reputacja: 932
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: KryptoBanita » wtorek, 21 listopada 2017, 20:41

constantine pisze: To ja mam pytanie: po jaką cholerę giełda w ogóle umożliwia prowadzenie konta, które zdaniem samej giełdy nie jest odpowiednio zabezpieczane logowaniem za pomocą 2FA przez pocztę?
I tu masz rację, bo jak na normalnej giełdzie nie zrobisz 2FA to nie otworzą CI konta.
Dlatego spójrz jak wiele, wiele postów temu odradzałem korzystania z BB, co prawda z innych powodów, ale też pisałem, że ilość włamań poprzez mail jest wysoce podejrzana. Mam nadzieję, że choć jeden użytkownik forum wziął sobie to do serca, niestety Ty nie przejrzałeś tego tematu, a ja nie mam siły pisać co dziennie to samo.
Czy jest mi przykro, że ktoś stracił tak głupio pieniądze? Jest... Ale bardziej mnie to dołuje...

Początkujący
Posty: 75
Rejestracja: 20 listopada 2017
Reputacja: 14
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: arekk » wtorek, 21 listopada 2017, 21:16

Przykro czytac takie rzeczy ale dobrze ,ze nie krepujecie sie pisac o tych kradziezach. Dzieki temu inni maja szanse wyciagnac wnioski. Ja np. rozpracowuje dopiero temat inwestycji w krypto i doszedlem do pewnych wnioskow : do tych inwestycji kupie lapka na ktorym zainstaluje Linuxa (jaka dystrybucja to kwestia zastanowienia sie), zakladam konto mailowe na w/w proton , do tego swieza karta sim i telefon, kwestie portfeli badam jeszcze (czy papier czy sprzetowy). Generalnie z rynkiem kapitalowym jestem obyty ale w krypto widze cos co bylo na poczatku lat 2000. Niektore projekt odjechaly, inne wlasnie jada, nastepe beda jechac. Jeszcze jest czas wsiasc do tego pociagu.

Weteran
Awatar użytkownika
Posty: 5083
Rejestracja: 14 marca 2011
Reputacja: 1663
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: maky » wtorek, 21 listopada 2017, 21:22

arekk pisze: Przykro czytac takie rzeczy ale dobrze ,ze nie krepujecie sie pisac o tych kradziezach. Dzieki temu inni maja szanse wyciagnac wnioski. Ja np. rozpracowuje dopiero temat inwestycji w krypto i doszedlem do pewnych wnioskow : do tych inwestycji kupie lapka na ktorym zainstaluje Linuxa (jaka dystrybucja to kwestia zastanowienia sie), zakladam konto mailowe na w/w proton , do tego swieza karta sim i telefon, kwestie portfeli badam jeszcze (czy papier czy sprzetowy). Generalnie z rynkiem kapitalowym jestem obyty ale w krypto widze cos co bylo na poczatku lat 2000. Niektore projekt odjechaly, inne wlasnie jada, nastepe beda jechac. Jeszcze jest czas wsiasc do tego pociagu.
Jeśli kupujesz portfel sprzętowy to przynajmniej teoretycznie możesz pominąć zakup lapka. Chyba, że będziesz miał nieobsługiwane coiny.
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.

KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Początkujący
Posty: 75
Rejestracja: 20 listopada 2017
Reputacja: 14
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: arekk » wtorek, 21 listopada 2017, 21:40

maky pisze:
arekk pisze: Przykro czytac takie rzeczy ale dobrze ,ze nie krepujecie sie pisac o tych kradziezach. Dzieki temu inni maja szanse wyciagnac wnioski. Ja np. rozpracowuje dopiero temat inwestycji w krypto i doszedlem do pewnych wnioskow : do tych inwestycji kupie lapka na ktorym zainstaluje Linuxa (jaka dystrybucja to kwestia zastanowienia sie), zakladam konto mailowe na w/w proton , do tego swieza karta sim i telefon, kwestie portfeli badam jeszcze (czy papier czy sprzetowy). Generalnie z rynkiem kapitalowym jestem obyty ale w krypto widze cos co bylo na poczatku lat 2000. Niektore projekt odjechaly, inne wlasnie jada, nastepe beda jechac. Jeszcze jest czas wsiasc do tego pociagu.
Jeśli kupujesz portfel sprzętowy to przynajmniej teoretycznie możesz pominąć zakup lapka. Chyba, że będziesz miał nieobsługiwane coiny.
Jeden komp wiecej nie zaszkodzi a bedzie swiezynka tylko do krypto. Co do tych obslugiwanych/nieobslugiwanych coinow to sam nie wiem co sie urodzi i w co bede inwestowal. Moze jestem staroswiecki ale analizy robie w dawnym stylu czyli AT :D W ten sposob nabylem np. XMR nie wiedzac co to za czort :) liczylo sie wybicie i odpowiedni wolumen.

Początkujący
Posty: 307
Rejestracja: 18 lutego 2017
Reputacja: 29
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: hazi » wtorek, 21 listopada 2017, 21:58

arekk pisze: Jeden komp wiecej nie zaszkodzi a bedzie swiezynka tylko do krypto
Możesz tez użyć boot pendrive Linux to logowania na giełdy. A skrzynke na gmail mozesz zabezpieczyc weryfikacja telefonem. Ja dostałem nauczke prawie zostałem okradziony na poloniex nie mialem wlaczonego google authenticator. JaK już chcecie pożadne zabezpiecznie polecam do logowania na gieldy PC-BSD jeszcze lepsze od linuxa.

Początkujący
Awatar użytkownika
Posty: 53
Rejestracja: 16 lipca 2017
Reputacja: 21
Reputacja postu: 
1
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: chciwyszczur » środa, 22 listopada 2017, 09:14

Hej. Ja także swego czasu przeżyłem włam. Wprawdzie nie idzie o giełdę ale o konto World of Warcraft oraz cyfrowe złoto. Sprawa była poważna bo w tamtym czasie mój gold przewyższał pewnie wartością Bitcoina :P Po wszystkim zacząłem szukać metod na zapewnienie sobie wyższego bezpieczeństwa. Skontaktowałem się ze znajomym informatykiem, który uchodził za guru od spraw bezpieczeństwa. Oprócz metod o których tutaj wszyscy piszecie polecił mi jeszcze: 1) zawsze logować się za pomocą klawiaury ekranowej - ponoć trojany nie widzą wtedy wklepywanych znaków; 2) nie logować się z konta głównego windows, a stworzyć nowego użytkownika BEZ UPRAWNIEŃ ADMINA, :!:

Ja te zasady stosuję do dziś i puki co działają. Nie wiem może piszę głupoty bo nie jestem security fachowcem... :?

A co do BitBaya - co mi po ich google auythenticorze skoro ja mam system windows phone na telefonie! Chyba czas się przesiąść na androida....

Współczuję Wam chłopaki utraconej kasy :(

Początkujący
Posty: 14
Rejestracja: 31 października 2017
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: Ekard » środa, 22 listopada 2017, 13:36

chciwyszczur pisze:
A co do BitBaya - co mi po ich google auythenticorze skoro ja mam system windows phone na telefonie! Chyba czas się przesiąść na androida....
NA Windows Phone też możesz korzystać z Google Authenticatora. Ja sam używam Microsoft Authenticator i działa na Bitbay, Bittrexie i Binance, bo tylko tam mam konta. Pewnie będzie działał wszędzie tam gdzie GA działa.

Wróć do „Giełdy i serwisy - zagrożenia”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości