Efekty braku włączonego 2FA na poczcie i na giełdzie
: sobota, 20 stycznia 2018, 12:25
Jeszcze może być tak ze przytrafia się przypadki gdzie zginęły środki ludzi z włączonym 2FA
Polskie Forum Bitcoin
https://forum.bitcoin.pl/
Tak teoretycznie tylko. Po zmianie hasła złodziej nie może wypłacić środków, ale Ty swojego konta nie posiadasz, tj. nie masz do niego dostępu, więc co wprowadza taka blokada?
No ale jak to miałoby się stać? Haker musiałby chyba przejąć Ci kontrolę nad telefonem. No nie wiem, pytam tylko.
@ognos pisząc "Yep" masz na myśli co... że też się tam rejestrowałeś? Wiesz na ilu giełdach i portalach jestem porejestrowany? Nie potrafiłbym teraz tego zliczyć. U mnie GA to podstawa, więc mógłbyś napisać mniej więcej czy coś jest na rzeczy, czy tak sobie tylko się nad tym zastanawiasz.nubzor pisze: A czy przypadkiem użytkownicy którzy zostali okradzeni nie rejestrowali się wcześniej na nowo mającej powstać giełdzie Upcoin https://upcoin.com/dashboard ? Zarejestrowałem się tam i miałem takie samo hasło jak do Bitbay. Giełda na razie nie ruszyła. Każdy wątek warto jednak sprawdzić...
Jeśli loguję się codziennie i nagle hasło nie wchodzi no to raczej nie literówka w haśle a nastąpiła zmiana hasła BitBay nie musi ręcznie reagować na takie sytuacje, powinien to robić automat, a zdjęcie blokady chociażby poprzez smsa jak piszesz czy poprzez podanie jakiś konkretnych danych z dowodu osobistego, którego złodziej chyba nie jest w stanie przejąć. (np 3 ostatnie znaki).amneziahaze pisze: Tak teoretycznie tylko. Po zmianie hasła złodziej nie może wypłacić środków, ale Ty swojego konta nie posiadasz, tj. nie masz do niego dostępu, więc co wprowadza taka blokada?
BitBay reaguje mniej więcej w 24-48h, tak napisane mają na stronie i w tym czasie zakładasz, że zdążysz się połapać, że ktoś Ci przejął konto i z drugiej strony BitBay zdąży zareagować blokując gościa z zewnątrz? Moim zdaniem 48h po zmianie hasła to też nie jest do końca rozwiązanie problemu.
Słabe zabezpieczenie (Lepsze niż samo hasło oczywiście), tym bardziej, że większość ludzi w Polsce korzysta ze słabych polskich dostawców poczty - gmail jednak jest półkę wyżej jeśli chodzi o bezpieczeństwo. Dlaczego?
Hej, jakby problem z włamaniem na konto był nadal aktualny to daj znać na priv lub wyślij do mnie wiadomość http://monitorprawa.pl/constantine pisze:@ShadowOfHarbringer własnie przez takie wpisy uważam, że sprawa nie jest zakończona. Gorzej - myślę, że jak BB nie wprowadzi lepszych przymusowych zabezpieczeń, to takich postów będzie coraz więcej i nadal będę podążał swoją 'ścieżką'..., czyli udzielania informacji na ten temat. Koniec końców jak zauważył w innym wątku @tygrysek195 i @maky przynajmniej dali oczojebny komunikat, że bez GA konto nie jest dobrze zabezpieczone.mariuszczaja123 pisze: czy ta kasa przepada przecież wlascicielem portwela jest bb od nich kasa spi......olila co oni swiete krowy za nic nie odpowiadają zadnych odszkodowan mnie okradali jak byłem przy kompie natychmiast wykonałem tel do bb ale u nich ku....a wiecie 50 minut na wolna linie czkałem a jak ktoś by raczyl odebrać to kasa by była i co oni niewinni hamy
Mimo to bdb, że założyłeś osobny wątek na temat zabezpieczeń.
@mariuszczaja123 nie pamiętam czy ci odpowiadałem: współczuję, ale niestety kasa przepadła. Twoim błędem było nie zastosowanie 2FA GA.
BB ani ci kasy nie odda, ani tak naprawdę nie pomoże (poza deklaracjami bez żadnego pokrycia n/t współpracy z policją).
Mój prawnik powiedział, że w sądzie sprawa z BB jest przegrana, bo obrót krypto nie jest uregulowany, więc dałem sobie z tym spokój. Im szybciej pogodzisz się ze stratą, tym mniej czasu i zdrowia stracisz.
Poza tym zachęcam do zapoznania się z §6 regulaminu BB dotyczącego odpowiedzialności.
BitBay pisze: Dla jasności, mamy tutaj 2 przypadki, o których rozmawiamy. Oba różni tylko jeden element. Proces wyglądał tak:
1) dostanie się na skrzynkę mailową;
2) znalezienie / bądź z góry informacja o tym, że ktoś ma konto na BB;
3) jeden z poszkodowanych miał czyste logowanie hakera na konto, w przypadku drugiego została wykonana zmiana hasła (w obu przypadkach logowanie było czyste, nie było wielu prób itd. - w takich przypadkach konto jest blokowane);
4) zakup środków kryptowalutowych;
5) wypłata, potwierdzenie 2FA tej operacji;
6) wyczyszczenie skrzynki mailowej;
Zarówno na platformie 2.0 jak i 3.0 każdy mail mamy zarejestrowany, że został wysłany oraz jest on trackingowany i otwarcie następowało w krótkim czasie, po wygenerowaniu prośby z platformy (co nietrudno sprawdzić po linkach w mailach korzystamy z usług zewnetrznego operatora, także zbierane logi jeśli chodzi o wysyłki są niezależne).
Właśnie dlatego zalecamy włącznie 2FA w postaci: Google Authenticator, wtedy nieważne czy z przywróceniem hasła, czy bez haker nie będzie mógł ani zalogować się ani wypłacić środków z platformy.
Na skrzynce pocztowej nie widziecie maili, bo prawdopodobnie haker je po prostu usunął. Jeżeli w historii logowania na skrzynce nie ma nieautoryzowanego logowania, prawdopodobnie został przeprowadzony atak ARP. Nie korzystałeś z wifi w miejscu publicznym? Obecnie większość hakerów najpierw przeczesuje skrzynki w poszukiwaniu rzeczy związanych z Bitcoinem.
Ilość metod do weryfikacji 2FA będzie zwiększana. Obecnie przygotujemy wdrożenie na produkcję 2FA za pomocą smsów.
Dla obu poszkodowanych udzielimy możliwej pomocy. Zalecamy zgłoszenie sprawy na Policję, my dostarczymy wszystkich niezbędnych logów i potwierdzeń by ułatwić pracę. Jako BB współpracujemy z organami ścigania, dlatego jeśli ktoś nie wie jak taką sprawę zgłosić, potrzebuje w tym temacie rady/pomocy również zapraszamy do kontaktu. Chętnie pomożemy.
Nikt z nas nie jest w stanie wykluczyć udziału giełdy, mało tego równie dobrze mógł to zrobić sam użytkownik w zasadzie póki nie ustalą IP komputera z lokalizacją lub inaczej, czy te IP komputer ma konto główne swoje na BITBAY naprzykład, lub po adresie portfela nie dojdą do tego jaka to osoba itp itd., to każdy jest potencjalnym podejrzanym to jak z samochodem nie masz drugiego kluczyka to lipa. Ale nie istotne, jeśli dla giełdy to grosze to niech uspokoją użytkowników i wdrożą jakąś procedure nadzwyczajną i oddadzą kasę to po 1. Po drugie BITBAY bardzo słabo działa w takich przypadkach tzn. nie wiem jak działa z Policją może super to organizują przyjeżdża specjalna slużba ds cyberprzestępczości i siedzą 2 tygodnie nad danymi analizują jak w jakimś dobrym thrillerze w co wątpie, ale takie LOGI, analiza tego IP natychmiastowa pod kątem logowań przez tą dobę w której okradziono użytkownika to powinna już być sporządzona w 20 minut po zdarzeniu i wysłana użytkownikowi a czemu nie? nie może użytkownik jako poszkodowany też wziąć udziału w tej analizie? ma się tylko przyglądać z boku aż sprawa będzie umorzona. Z resztą...edbog pisze:Jeśli ktoś zdobył twojego maila a tam znalazł info że jesteś związany z btc to stałeś sie automatycznie celem z dość wysokim priorytetem. Jak wszedł w posiadanie twojego hasła bb pozostaje narazie tajemnicą ale wektorów i kombinacji ataków jest zapewne mnóstwo.Za giełdą przemawia to że jakby to ona jakoś współpracowała w okradaniu to robiłby to na większą skalę a najprawdopodobniej by poprostu sie zwinela z całą kasą wszystkich użytkowników. Robienie takiego przekrętu na 6k zł byłoby głupotą bo dla nich to są drobne. Oczywiście to są przypuszczenia na 100% nie da sie wykluczyć uczestnictwa w tym procederze giełdy ale to by było skrajnie mało prawdopodobne.
Jak miał zrobić reset hasła? znając hasło do poczty? jak trzeba znać login.
Mylisz się. Login (potrzebny do resetu hasła) jest wysyłany w emailach z kodem autoryzacyjnym.
zbyt dużo losowości i szczęścia w tym wszystkim. Po za tym ktoś tego maila musiał wysłać, haker tego nie zrobi bo jak...
W sumie całkiem dobry pomysł, a nawet chyba bardzo skuteczny, tak na szybko, da się zmienić email na giełdach? Czy akurat maila/loginu zmieniać nie można?m.m pisze: Na upartego można korzystać z aliasów, mail nie istnieje więc nie ma hasła.. kto nie ma możliwości zakłada fikcyjne konto i nigdzie z niego nie korzysta więc nie jest narażony phishing.