Efekty braku włączonego 2FA na poczcie i na giełdzie

Regulamin forum
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty

Postautor: The Real McCoin » piątek, 19 stycznia 2018, 10:01

@konrad771
Miałeś to samo hasło na giełdzie i poczcie.
Przypomnij sobie jak od kiedy miałeś je ustawione na giełdzie i od kiedy miałeś je na poczcie. Chodzi o daty.
Było proste, trudne, krótkie, długie?

Dodano po 4 minutach 11 sekundach:
Zostałem okradziony - włam na giełdę przez przejęcie poczty (brak 2FA)
Jeżeli było ono ustawione na giełdzie od dłuższego czasu i faktycznie był kiedyś wyciek bazy to mogłeś być objęty tym incydentem i ktoś złamał hasło dzięki haszu.
Przypomnij też sobie od kiedy miałeś 2FA GA na giełdzie.

Początkujący
Posty: 26
Rejestracja: 28 grudnia 2017
Reputacja: 19
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty (brak 2FA)

Postautor: konrad771 » piątek, 19 stycznia 2018, 10:06

@The Real McCoin, Najpierw miałem ustawione na poczcie, potem na giełdzie od początku tzn. gdzieś tak od grudnia.
10 znaków w tym Duża litera, małe litery, cyfry i znak specjalny

Dodano po 3 minutach 58 sekundach:
@The Real McCoin,
Dokładnie 05.01.2018 włączyłem GA

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Zostałem okradziony - włam na giełdę przez przejęcie poczty (brak 2FA)

Postautor: The Real McCoin » piątek, 19 stycznia 2018, 10:15

konrad771 pisze: gdzieś tak od grudnia.
10 znaków w tym Duża litera, małe litery, cyfry i znak specjalny
No to chyba nie byłeś objęty żadnym domniemanym starszym wyciekiem bazy z BB.
Raczej można też wykluczyć łamanie takiego hasła z hasza.

Początkujący
Posty: 25
Rejestracja: 7 stycznia 2018
Reputacja: 8
Reputacja postu: 
2
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: havocboy » piątek, 19 stycznia 2018, 10:21

hassejo pisze:
między giełdą, a bankiem nie ma dużej różnicy. jedno i drugie obraca naszymi finansami, mniejszymi czy też większymi, bez znaczenia.
więc obstawiam, że zdecydowana większość wie jak się obchodzić z PODSTAWOWYMI środkami bezpieczeństwa.
Mylisz się i to bardzo, bo różnic jest bardzo wiele. Każdy może sobie założyć giełdę krypto, a nie każdy może sobie otworzyć swój bank. Bank musi obowiązkowo przeprowadzać testy penetracyjne swojego serwisu raz do roku, przez zewnętrzną firmę. Jest to narzucone z góry przez rząd, giełda nie musi nic, a nawet może zawinąć Twój hajs i tyle po niej będzie. Bank ma fundusz zabezpieczający Twoje środki w razie kradzieży w przeciwieństwie do giełd.

Nie jestem zwolennikiem bankowości, ale jak ślepym trzeba być, żeby pisać, że nie ma różnicy między bankiem a giełdą, która służy głównie do handlu.
Szymski pisze: @havocboy, jak rozumiem zapoznałeś się z całą sprawą konrad771?
Nie. Zapoznałem się pobieżnie z ostatnimi stronami i wpisem początkowym.
konrad771 pisze:
havocboy pisze: @konrad771
Człowieku co się wyżywasz na użytkownikach i bitbayu. Najpierw poczytaj o podstawowych zasadach bezpieczeństwa, a później płacz. Następnym razem może do Ciebie dojdzie, że warto włączyć 2FA. A nie k!@#$% oglądanie pornosów na jednym kompie, hasło 1234 na wszystkich kontach i poczta na wp, a później lament. Trochę pokory, bo tylko Ty zawiniłeś, nikt inny. Współczuje, ale nie pozdrawiam.
Rozumiem że jakby ktoś ukradł Ci samochód to by była Twoja wina nie złodzieja ?
W końcu to Ty go słabo zabezpieczyłeś.
Bawiąć się w kryptowaluty trzeba być świadomym, że to łatwy i łakomy kąsek dla cyberprzestępców. Ominięcie bankowości, przelewu btc nie da się już cofnąć, a użytkownicy często są nieświadomi zagrożeń. Samochód zawsze możesz ubezpieczyć od kradzieży, bo jesteś chroniony przez państwo, a spróbuj gdzieś ubezpieczyć swoje krypto... Dlatego trzeba zachować podwójną ostrożność. Nikt Ci tego nie zabezpieczy, a jak Cię okradną to nigdy już nie zobaczysz swoich btc w porównaniu do samochodu, który albo odzyskasz albo dostaniesz kasę z ubezpieczalni.

Weteran
Posty: 1174
Rejestracja: 18 września 2016
Reputacja: 276
Reputacja postu: 
0
Napiwki za post: 0 BTC
Napiwki: https://tippin.me/@c_witold

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: WitoldC » piątek, 19 stycznia 2018, 10:24

Z tego co wiem wyciekły tylko adresy email subskrybentów newslettera https://niebezpiecznik.pl/post/wpadka-g ... wslettera/
Czy było coś więcej?

Początkujący
Posty: 26
Rejestracja: 28 grudnia 2017
Reputacja: 19
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: konrad771 » piątek, 19 stycznia 2018, 10:32

@havocboy, Z samochodem może był zły przykład. chodzi mi o to że pomimo w miarę skomplikowanego hasła i zachowywania zasad bezpieczeństwa ktoś mnie okradł i wysłuchiwanie tekstów typu " nie k!@#$% oglądanie pornosów na jednym kompie, hasło 1234 na wszystkich kontach i poczta na wp, a później lament. Trochę pokory, bo tylko Ty zawiniłeś, nikt inny." jest irytujące. To co z tego wychodzi że taka giełda nie ma żadnych wymagań bezpieczeństwa dotyczących zabezpieczeń i zasad narzuconych jakimiś przepisami ?

Początkujący
Posty: 25
Rejestracja: 7 stycznia 2018
Reputacja: 8
Reputacja postu: 
2
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: havocboy » piątek, 19 stycznia 2018, 11:06

@konrad771
Przepraszam z góry, bo faktycznie trochę mało kultury pokazałem w poście do Ciebie.
Nie ma, ponieważ kryptowaluty nie są regulowane przez polskie prawo. Ma to swoje dobre i złe strony. Trzeba dobierać giełdy wedle opinii innych userów i własnej intuicji. Kilka giełd zawinęło się z kasą, na kilka się włamano (Np. polski bitmarket.pl w 2014 roku). Co prawda bitbay prowadzi program bug bounty, co raczej potwierdza, że dbają o bezpieczeństwo serwisu. Ja zawsze polecam 2FA, ponieważ jest mało prawdopodobne, żeby ktoś bez fizycznego dostępu do telefonu Cię okradnie - nawet jak będzie miał hasła do kont z innego włamania lub jakiegoś phishingu.

Pozdrawiam serdecznie i przepraszam jeszcze raz za moje chamstwo.
Życzę odzyskania forsy!
Ostatnio zmieniony piątek, 19 stycznia 2018, 11:16 przez havocboy, łącznie zmieniany 1 raz.

Początkujący
Posty: 26
Rejestracja: 28 grudnia 2017
Reputacja: 19
Reputacja postu: 
1
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: konrad771 » piątek, 19 stycznia 2018, 11:16

@havocboy, ok. Nie ma problemu

Wygadany
Posty: 524
Rejestracja: 21 lipca 2017
Reputacja: 367
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: ognos » piątek, 19 stycznia 2018, 13:05

@rav3n_pl Po pierwsze dostałeś minusa za namawianie ludzi do niezgłaszania tego na policji, co dla samego spokoju ducha warto zrobić.

Po drugie sam brednie wygadujesz i nie przeczytałeś wątku dokładnie, bo nie było żadnych wyspecjalizowanych włamań na skrzynki pocztowe, był wyciek haseł i loginów z bitbaya, większość pokrzywdzonych miała identyczne hasło na bitbayu i na mailu. ZŁODZIEJ MA DANE Z BITBAYA bo wszystkie te sprawy są powiązane tą giełdą a nie innym portalem czy jednym serwerem pocztowym, więc nie broń giełdy, że jej nikt nie shakował, bo tak prawdopodobnie niestety było.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14354
Rejestracja: 16 kwietnia 2012
Reputacja: 2639
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: rav3n_pl » piątek, 19 stycznia 2018, 13:39

ognos pisze: był wyciek haseł i loginów z bitbaya,
ognos pisze: ZŁODZIEJ MA DANE Z BITBAYA
ognos pisze: bo tak prawdopodobnie niestety było.
@BitBay, bardzo proszę o ostateczną informację co do tych rewelacji.
Nie chcę się z nikim kłócić, ale wydaje mi się że było "trochę inaczej" niż większość tu podaje.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Oficjalny przedstawiciel projektu
Awatar użytkownika
Posty: 1614
Rejestracja: 17 lutego 2014
Reputacja: -55
Reputacja postu: 
5
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: Zonda » piątek, 19 stycznia 2018, 13:47

Żadna nasza baza nigdzie nie wyciekła, baza newslettera była realizowana na Indie, przez indyjski oddział BitBaya odpowiedzialny za marketing. Po tym incydencie zostały wyciągnięte konsekwencje, natomiast maile pochodziły od użytkowników indyjskich i była ich niewielka ilość.

Jak do tej pory nie odnotowaliśmy kradzieży środków, które zostały zabezpieczone Google Authenticator. Dodatkowo, alert odnośnie włączenia GA jest wyświetlany w systemie każdemu użytkownikowi i każdy nowy użytkownik otrzymuje taki komunikat.

Obrazek

Prosimy o zweryfikowanie swoich ustawień i bezpieczeństwa danych.

https://bitbay.net/pl/pomoc/moje-konto/ ... henticator
maky pisze:To jest IMHO najbardziej prawdopodobne skoro o kradzieżach na innych giełdach tego typu cicho
Inne polskie giełdy są bardzo małe, przez co nie występuje efekt skali. BitBay jest na tyle popularną platformą, że trafił już na listy hakerów, których - po przejęciu skrzynki - pierwszym celem jest odnalezienie nazw popularnych giełd kryptowalut. Mieliśmy przypadki, w których środki były wyczyszczone również na zagranicznych giełdach.

Na zagranicznych giełdach ludzie używają w większości Gmaila, który jest dobrze zabezpieczony w porównaniu do polskich skrzynek pocztowych, które są bardzo podatne na ataki.

mBank prowadzi akcję "Uważni w sieci", bo ataki hakerskie są ostatnimi czasy bardzo nasilone, również na instytucje bankowe. Skoro jeden z dużych banków specjalnie wykupuje ramówkę w telewizji, a także na każdym możliwym kanale - to jest to potwierdzeniem plagi ataków. mBankowi za całą akcję naprawdę należy się pochwała.

[youtube][/youtube]

Moderator
Awatar użytkownika
Posty: 11686
Rejestracja: 16 lutego 2013
Reputacja: 3879
Reputacja postu: 
6
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: Bit-els » piątek, 19 stycznia 2018, 14:04

@BitBay, hackerzy atakują tam, gdzie są błędy. Dziwne jest to, że nastąpił taki wysyp właśnie u was. Rozkład losowy ludzi mających maile typu onet na innych giełdach musi być podobny. Ale to właśnie na waszej giełdzie giną masowo środki.
Wprowadźcie na JUŻ blokadę wypłat po zmianie hasła, maila na 48 g jak Bitmarket.
Nie dziwię się ludziom, że mają do was pretensje. Za dużo tego. A najlepiej przeprowadżcie wewnętrzną kontrolę na obecność nieuczciwego pracownika

Początkujący
Posty: 26
Rejestracja: 28 grudnia 2017
Reputacja: 19
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: konrad771 » piątek, 19 stycznia 2018, 14:25

@BitBay,
jest przynajmniej jedno ale
mBank wymaga obligatoryjnie zabezpieczeń 2fa, a u was można ale nie trzeba. A po drugie dlaczego wy nie informujecie o faktach kradzieży z waszej giełdy i nie robicie kampanii reklamowej żeby się chronić przed złodziejami ? W końcu po trzecie w odpowiedziach na zgłoszenia reklamacyjne i informujące i kradzieżach umywacie ręce tłumacząc wszystko winą użytkownika.
Brawo

Dodano po 5 minutach 17 sekundach:
@konrad771,
a paseczek na waszej giełdzie owszem ostrzega o niebezpieczeństwie ale dopiero po zalogowaniu, co dodatkowo ułatwia złodziejowi kradzież bo wie że nie ma włączonego GA.
Brawo

Wygadany
Posty: 524
Rejestracja: 21 lipca 2017
Reputacja: 367
Reputacja postu: 
1
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: ognos » piątek, 19 stycznia 2018, 14:39

@BitBay Jak dokładną analizę problemu zrobiliście, prześledziliście ruch, użytkoników względem tych podanych IP? Wiecie w ogóle ile użytkowników dotkniętych było nieautoryzowanym logowaniem z tego samego IP? Bo od grudnia koleś smieje sie wam w twarz i nawet końcowego IP swojego VPN nie zmienił. Zrobiliście jakąkolwiek pracę detektywistyczną względem tych incydentów?

Początkujący
Awatar użytkownika
Posty: 216
Rejestracja: 19 września 2017
Reputacja: 45
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: constantine » piątek, 19 stycznia 2018, 15:28

Widzę, że wątek niestety niewiele zmienił w podejściu BB do sprawy.
BitBay cały czas odpowiadacie w klimacie: "a u was Murzynów biją!"
Bitamret odpowiada w innym tonie i od raz z planem wprowadzenia dodatkowego utrudnienia złodziejom
https://forum.bitcoin.pl/viewtopic.php? ... 40#p437412
ognos - biorąc pod uwagę to, co odpisała mi BB na mail jeszcze w październiku ub.r. (mail z dnia 01/10/2017 - dzień po włamie na moje konto) cyt."Bardzo prosimy o kontakt z komisariatem policji i zgłoszenie kradzieży. Współpracujemy z organami ścigania, szkoląc, pomagając itd. nie raz udało się odzyskać BTC, które ktoś użytkownikowi skradł z giełdy." takich sytuacji do dziś musiały być setki. Ja zgodnie z zaleceniem zgłosiłem sprawę na policji i jak parę dni temu pisałem nawet już w grudniu ub.r. zdążyła zostać umorzona z uwagi na - oczywiście - nie wykrycia sprawcy z dopiskiem w stylu - 'mimo, że podjęto szereg czynności procesowych'. Dlatego osobiście zalecałbym robienie zgłoszenia na policji tylko tym, którzy po umorzeniu dochodzenia zamierzają potem wejść z BB na drogę procesu cywilnego o odszkodowanie z uwagi na np. niewystarczające zabezpieczenia stosowane przez BB przed włamaniem na konto użytkownika.
Sprawa raczej przegrana, bo: - obrót krypto nie jest uregulowany, - regulamin BB §6, - giełda krypto to nie bank. Wiem co piszę - rozmawiałem z bdb prawnikiem cywilnym.
Koniec końców cieszy zmiana podejścia modów tego forum do tematu (zwłaszcza jednego) i zaprzestanie pisania w konwencji: to twój problem userze, bo nie miałeś 2FA GA oraz samych użytkowników mądrzejszych od internetu, którzy nie doznali sytuacji włamu. Okradzionym współczuję i życzę powodzenia w dochodzeniu roszczeń od BB.

Początkujący
Posty: 12
Rejestracja: 17 grudnia 2017
Reputacja: 4
Reputacja postu: 
2
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: Szymski » piątek, 19 stycznia 2018, 15:36

@constantine, masz rację. BitBay nie poniesie żadnej odpowiedzialności i w zwykłym pozwie nikt z nimi nie wygra. To wszystko prawda. To co boli najbardziej to reakcja na problem. Nie wiem kto prowadzi tą giełdę i jak, ale wyobraźcie sobie sytuację:

Przychodzi pracownik do szefa BitBay i mówi "Ty popatrz, 50 kradzieży w ostatnich 14 dniach i wszystkie takie same".
A Prezes na to "O kurde, ale barany. Wywal im czerwony pasek żeby sobie włączyli GA"
CASE CLOSED.

No naprawde????
Tylko tyle?
A jakiś mailing? Newsletter? Guide? Akcja informacyjna?

Przecież na giełdę rejestruje się masę nowych ludzi. Każda kradzież to nie utrata 1 klienta, tylko kilkudziesięciu. Bo ja powiem 10 osobom, a one wszystkie kolejnym 40.

Moim zdaniem prawdziwy właściciel takiej giełdy, jeżeli widzi coś więcej niż czubek własnego nosa, przejąłby się takim problemem dużo bardziej. Nie myślałby tylko o zapisach w regulaminie, które chronią mu tyłek i malutkim kapitale własnym, którym odpowiada spółka. Myślałby o dobru swoich użytkowników i wykonałby jakąkolwiek akcję.

Początkujący
Posty: 57
Rejestracja: 7 stycznia 2018
Reputacja: 6
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: nubzor » piątek, 19 stycznia 2018, 16:40

Byłem dzisiaj na policji w sprawie kradzieży na Bitbay, spisany protokół. Mam dodatkowo dostarczyć dowody wpłaty na giełdę. Na pocieszenie dowiedziałem się że jednego gościa w mojej okolicy też oskubali na tej giełdzie na grubo 80 tys.

Moderator
Awatar użytkownika
Posty: 6334
Rejestracja: 27 lipca 2011
Reputacja: 1668
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: maxi82 » piątek, 19 stycznia 2018, 22:36

OT usunięte. Trzymajcie się tematu.
Pomogłem, chcesz się odwdzięczyć: 1GjJuynG6TiuKVoyg3JwGy2ePA6VUfGbCx

Weteran
Awatar użytkownika
Posty: 3093
Rejestracja: 3 grudnia 2017
Reputacja: 1088
Reputacja postu: 
6
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: CzarnaOwca » piątek, 19 stycznia 2018, 22:53

Bit-els pisze: @BitBay,
Wprowadźcie na JUŻ blokadę wypłat po zmianie hasła, maila na 48 g jak Bitmarket.
Najprostsze zabezpieczenie a jakże skuteczne, czy to naprawdę jest AŻ TAK TRUDNE do zrealizowania @bitbay? Jeżeli ktoś się loguje codziennie i nagle żąda zmiany hasła to coś jest NIE HALO, od razu powinien być ban na jakiekolwiek granie/wypłaty przez kolejne 24/48h. Podejrzewam, że samo ten pomysł wykluczy 90% przelewów z kont z włamem.

pm7
Weteran
Posty: 7893
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Efekty braku włączonego 2FA na poczcie i na giełdzie

Postautor: pm7 » sobota, 20 stycznia 2018, 11:46

mudol pisze: nagle żąda zmiany hasła to coś jest NIE HALO, od razu powinien być ban na jakiekolwiek granie/wypłaty przez kolejne 24/48h.
To jest generalnie dobre zabezpieczenie, nie widzę (sensownego) powodu, żeby go nie wprowadzić. Może boją się wysypu ludzi zdenerwowanych tym, że nie mogą używać giełdy po restarcie hasła?

Wróć do „Giełdy i serwisy - zagrożenia”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości