Różne rodzaje 2FA [OT z Zostałem okradziony...]

[amneziahaze]

W mojej opinii bardzo poważna sprawa.

@rav3n_pl, myślę, że powinieneś bardziej ostrożnie podchodzić do tej kwestii i w sposób bardziej wyrozumiały. Nie obraź się, ale nie została okradziona jedna osoba, na 100% jestem pewny, że więcej niż 2. Silver i ktoś jeszcze też udziela się w tym wątku czy może nie zauważyłeś? Także 3 osoby okradzione w ten sam sposób, w podobnym czasie popełniły te same błędy? Myślę, że trzeba poczekać na dalsze informacje.

Jedziemy wszyscy na tym samym wózku i to samo mogło się wydarzyć i mnie i Tobie, i komukolwiek z forum, ja z BB nie korzystam AKTUALNIE, ale mam tam konta, hasła, zabezpieczenia podwójne i właśnie w ten weekend powycofywałem wszystkie środki z giełd, bo to nie są przelewki.

Ciekawe czy BITCUREX się powtórzy.............

Czy się powtórzy, czy się nie powtórzy, przypominają mi się pewne historie pewnego typu z przeszłości. Zazwyczaj się nie powtarza identycznie ta sama sytuacja, ale są "przesłanki", o których pisał @Wymazywanie, i one się powtarzają na różnych giełdach w różnych skalach czasowych.

[Harey]

Przeczytałem uważnie cały wątek, nie chcę wyrokować kto zawinił.
Chcę się odnieść natomiast w tym momencie tylko do jednej kwestii - bezpieczeństwa. Używanie Windows do wrażliwych danych uważam za ... brawurę. W dziale bezpieczeństwo napisałem tutorial obrazkowy, jest tam Linux uruchamiany z pendrive - ma przecież identyczny firefox jak w Windows - korzystajcie! Zajmuję głos jednak w innej sprawie:

NIE korzystajcie z polskich skrzynek pocztowych!!!

W necie nawet w tym momencie walają się listy z tysiącami haseł !!!

Włamywacz dostaje dane do kont allegro, giełd a czasem kompromitujących informacji do szantażu.
Przykładowo, czy ktoś z Was próbował się zalogować do swojego gmail'a będąc poza PL? Bez dodatkowej weryfikacji się nie obędzie, a wszystko dlatego że jest zastosowany zaawansowany fingerprinting. Polskie skrzynki służą operatorom chyba tylko do upychania reklam skoro od lat się nic nie zmienia i tyle haseł pozyskanych prawdopodobnie metodą bruteforce wycieka do internetu.

Jakbym napisał, że ukradli mi pieniądze z giełdy x a korzystalem z Linux/VPN/2FA/dobrego@ z 2FA to inny byłby odbiór prawda? Wtedy szala prawdopodobieństwa, że zawiniła giełda przechyliłaby się gdzieś na 95% a tak?

[rav3n_pl]

@amneziahaze, całkiem możliwe że więcej osób, ale NIE Z WINY GIEŁDY.
Też kilka lat temu przeżyłem atak, bo używałem jednego hasła a wyciekła lista mail/hasło jednej z gier online a miałem to samo hasło na JEDNEJ skrzynce na wp. I ganiałem się w nocy z włamywaczem kto szybciej zrobi reset hasła na serwisach/fb/pocztach - odbił się na 2FA/GA jakie miałem założone na gmailu i weryfikacji SMS na innym serwisie - to mnie obudziło w nocy.

W tym wypadku to, że na BB się włamano, a gdzie indziej nie, nie świadczy dobrze o BB, a nie o nas.

A przeczytałeś co napisałem wcześniej? Z punktu widzenia giełdy WŁAMU NIE BYŁO. Owszem, był włam, ale na TWOJE konto pocztowe i TWÓJ komputer. Taka dyskretna różnica.
Próbujesz zdyskredytować GIEŁDĘ która w tej sprawie NIE jest winna!

Z punktu widzenia drzwi jak złodziej ma dorobiony klucz do zamka to przestaje być złodziejem a winny jest właściciel zamka.

Z punktu widzenia zamka każdy pasujący klucz go otwiera. A że właściciel pozwolił na dorobienie klucza...

[krystian]

Uważam, że wątpliwości rav3n' a są słuszne.

W takich przypadkach, należy wstrzymać się z oskarżeniami do chwili, gdy będziemy 100% pewni.
Bardzo łatwo o wywołanie owczego pędu. Założę, się sporo osób po przeczytaniu samego nagłówka wątku, przeniosła kasę do innej giełdy.

Wszystko się pewnie dzisiaj wyjaśni.

[ekonokomik]

Z punktu widzenia giełdy zostało wykonana prawidłowe logowanie, transakcja i potwierdzona wypłata.
To, że Twoje konto pocztowe było przejęte przez "kogoś" ORAZ ten "ktoś" znał Twój login i hasło - ma być winą GIEŁDY?
Ty nadal uważasz, że to ICH wina?

Z punktu widzenia zamka każdy pasujący klucz go otwiera. A że właściciel pozwolił na dorobienie klucza...

Prawda. Ale może zamek powinien być lepszy, albo jeden zamek to za mało? Tak np. uważa mój ubezpieczyciel, który, zgodnie z umową nie wypłaci mi ubezpieczenia w razie włamania, jeśli się okaże, że nie zamknąłem domu na dwa zamki w tym jeden atestowany (lub jakoś tak).

Więc to chyba właśnie nie jest takie proste... Po pierwsze, nie mylmy zdrowego rozsądku z prawem
Znam wyrok sądu (choć linka teraz nie znajdę), kiedy klient, któremu ktoś wybrał kasę z konta, wygrał z bankiem, bo nie udowodniono mu, że udostępnił on komuś świadomie (!) swoje hasło do konta. A sąd uznał, że zabezpieczenia banku były niewystarczające. Myślisz, że dlaczego banki stosują teraz oprócz hasła kody jednorazowe itd.?

Powiesz, że klient miał możliwość włączenia 2FA. Ale możliwość, a nie obowiązek, prawda? Giełda tego nie wymusza. A może powinna, tak jak banki? Nie wiem. Ale zawsze można się zdać na ocenę sądu.

Nie mam kompletnie zdania w tym sporze (przede wszystkim mamy za mało danych) i jestem bardzo ciekaw jak się dalej potoczy, szczególnie, gdyby oparł się o sąd.

BTW. Pytanie z ciekawości, niezależnie od tej konkretnej sprawy: czy wystarczy wyłącznie przejęcie skrzynki pocztowej, aby uzyskać dostęp do konta na giełdzie? Bo z jego pomocą można zresetować hasło?
Jeśli tak, i ja w taki sposób bym utracił środki, to bym walczył. Bo z kim giełda zawiera umowę, z klientem, czy jego anonimowym kontem pocztowym?

[rav3n_pl]

Myślisz, że dlaczego banki stosują teraz oprócz hasła kody jednorazowe itd.?

Oczywiście, ja uważam że najlepszym zabezpieczeniem jest token - nie podłączony do niczego i trzeba by go fizycznie ukraść żeby uzyskać dostęp.
Podobnie działa 2FA na GA - trzeba oprócz włamu na pocztę przejąć telefon.
A jak ktoś z jednego kompa ma dostęp do wszystkiego to wystarczy mieć zdalny dostęp albo chociaż keyloggera żeby pozbierać dane logowania.

Powiesz, że klient miał możliwość włączenia 2FA. Ale możliwość, a nie obowiązek, prawda?

Z tego co mi napisał to miał do wyboru: potwierdzenia na maila labo inne 2FA. Nie używałem dawno BB, nie wiem jak to jest obecnie.

Bo z kim giełda zawiera umowę, z klientem, czy jego anonimowym kontem pocztowym?

Oczywiście z klientem, ale GIEŁDA nie może odpowiadać SWOIMI pieniędzmi za błędy USERA. Co innego, gdyby faktycznie nastąpił WŁAM na giełdę i ktoś grzebał w ICH systemie - wtedy całość odpowiedzialności spada na nich.
Wyobraź sobie sytuację, że ktoś szantażem zmusza Cię do wybrania kasy z banku. Czy po wszystkim będziesz szarpał się z bankiem bo wypłacił Ci pieniądze?

[Harey]

Prawda. Ale może zamek powinien być lepszy, albo jeden zamek to za mało? Tak np. uważa mój ubezpieczyciel, który, zgodnie z umową nie wypłaci mi ubezpieczenia w razie włamania, jeśli się okaże, że nie zamknąłem domu na dwa zamki w tym jeden atestowany (lub jakoś tak).

To ja z czystej przekory odwrócę kota ogonem... Można więc powiedzieć, że giełda udostępniła dwa zamki w tym jeden atestowany (2FA) a klient zamknął na jeden?

[ekonokomik]

@rav3n_pl, no właśnie sytuacji i scenariuszy może być wiele. Chciałem tylko powiedzieć, że z tego co wiem, to prawnie (!) nie jest tak, że jest magiczna bariera: jak utrata hasła nastąpiła po stronie klienta to winny jest klient, a jak był włam do banku to bank.

Tu artykuł o tym:
http://samcik.blox.pl/2014/09/Zlodzieje ... banki.html

"Sprawa może skończyć się w sądzie, bo klient uwaza, że zasad, owszem, dopełnił i przy zachowaniu wysokiej staranności nic więcej nie mógł zrobić. Komputer był aktualizowany, program wirusowy legalny i opłacony."

A tu opis takich właśnie, dwóch wygranych spraw:
http://samcik.blox.pl/2016/03/Przelom-w ... szych.html

I smaczki z uzasadnień:

"(...) uznał sędzia i nakazał bankowi zwrot pieniędzy skradzionych przez nieznanych sprawców. Sąd uznał, iż na korzyść klienta przemawia fakt, że bank przed "atakiem" nie informował na swojej stronie internetowej o tym, iż trzeba uważać na tego typu komunikaty."

"Co to wszystko dla nas oznacza? Cóż, takie podejście sądów oznacza, że to po stronie banków powinno leżeć takie zabezpieczenie rachunków klientów, by nie dało się z nich zabrać pieniędzy nawet przy założeniu, że klient jest naiwny. Jeśli bank twierdzi, że klient autoryzował transakcję, a klient udowodni, że danego dnia SMS-y autoryzacyjne w ogóle do niego nie dochodziły, to wniosek jest jeden - transakcje nie zostały właściwie autoryzowane. "

"Decydujące jest to, że sąd w obu przypadkach nie uznał za "rażące niedbalstwo' wpuszczenie przez klienta wirusów na komputer i smartfona. "

[rav3n_pl]

bank przed "atakiem" nie informował na swojej stronie internetowej o tym, iż trzeba uważać na tego typu komunikaty.

I dzięki takim idiotycznym wyrokom zanim się człowiek zaloguje do banku musi klikać 10 potwierdzeń których i tak nie czyta...

jak utrata hasła nastąpiła po stronie klienta to winny jest klient, a jak był włam do banku to bank.

I tak to powinno wyglądać.

sąd w obu przypadkach nie uznał za "rażące niedbalstwo' wpuszczenie przez klienta wirusów na komputer i smartfona.

To już jest idiotyzm, ale takich mamy sędziów...

[Harey]

"Decydujące jest to, że sąd w obu przypadkach nie uznał za "rażące niedbalstwo' wpuszczenie przez klienta wirusów na komputer i smartfona. "

Jeszcze kilka takich orzeczeń i każdy bank obligatoryjnie wyda nam token, za który obciąży opłatą w mniej lub bardziej jawny sposób. Kompletnie nie wierzę, że koszty "takich klientów" poniesie w ostatecznym rozrachunku banksterka. A więc należy się cieszyć? Wątpię.

[ekonokomik]

Jeszcze kilka takich orzeczeń i każdy bank obligatoryjnie wyda nam token

To już offtop, ale skądinąd wiem, że jest dokładnie odwrotnie: banki rezygnują z niezależnych tokenów sprzętowych. Czasem nawet zmuszają klientów przymusowo do rezygnacji. Dlatego, bo ich funkcjonalność (generowanie kodów jednorazowych) przeniosły do aplikacji bankowości mobilnej. Bo geniusze marketingu wymyślili sobie, że w ten sposób zmuszą ludzi do instalacji aplikacji bankowości na telefonie.

[kasza77]

@rav3n_pl

Spoiler:

ekonokomik pisze:
Przejdź do cytowanego posta sąd w obu przypadkach nie uznał za "rażące niedbalstwo' wpuszczenie przez klienta wirusów na komputer i smartfona.
To już jest idiotyzm, ale takich mamy sędziów...

Nie,to nie jest idiotyzm.
Zdecydowana większość ludzi na świecie nie ma zielonego pojęcia czym jest wirus,keylogger czy 2FA.
Zdecydowana większość ludzi na świecie nie ma pojęcia o IT nawet w minimalnym stopniu takiego jak Ty.
Większość ludzi nie wie praktycznie nic o komputerach,systemach,internecie etc.
Natomiast banki na siłę wpychają ludzi do świata o którym Ci nie mają zielonego pojęcia,bo tak jest o wiele taniej.
Kiedyś w banku było 10 stanowisk,a kolejka i tak była prawie zawsze.Teraz stanowiska są 2,a kolejka jest rzadkością.
Powoli pewnie większość życia przeniesie się do internetu,ale musi minąć przynajmniej pokolenie aby ludzie którzy się tam znajdą byli w zdecydowanej większości "swoim" świecie,bo narazie jest dokładnie odwrotnie.

[rav3n_pl]

Nawet nie mam pomysłu jak podzielić ten wątek, a lecimy w offtopa doszczętnie.

Dodano po 3 minutach 45 sekundach:
Na początek przeniosę do lepszego działu.
Podział "wątku bankowego" zaraz wymyślę.

[Arhio]

mnie zastanawia dlaczego wlasnie tak latwo mozna przelac srodki z gieldy, czemu nie ma weryfikacji sms? mozliwosci logowania sie przez sms itp

[rav3n_pl]

@Arhio, giełda daje do wyboru rodzaj 2FA
https://bitbay.freshdesk.com/pl/support ... enticator-

Dodano po 17 sekundach:
https://bitbay.freshdesk.com/pl/support ... oje-konto-

[Arhio]

moim zdaniem mimo wszystko, przy czyms takim, jak przelanie srodkow powinno dostawac sie tez kod weryfikacyjny, jak w typowym koncie bankowym - no ale tak koszta. Troche OT, ale czy jest nadal program partnerski przy polecaniu BB jak na wersji 2.0 ?

[rav3n_pl]

Troche OT

Pytaj w wątku giełdy/sprawdź ich faq

[rav3n_pl]

Nie każdy ma telefon z androidem

[wrip]

@rav3n_pl, są programy alternatywne na inne systemy. Ostatecznie faktycznie sms. Albo alternatywnie ale także niezbyt bezpieczne jest wysyłanie kodów na inny adres email niż ten użyty do rejestracji.

[gigi]

Nie każdy ma telefon z androidem

Na ios tez jest google authenticator...


Wysłane z iPhone za pomocą Tapatalk