UWAGA - Wyciek danych z bazy Ledgera

[maky]

Znasz przypadek złamania zabezpieczeń portfeli sprzętowych online?

No niby (na pewno) nie ale w momencie kiedy podpisuję kontrakt ETH z MetaMaska to nie mam zielonego pojęcia co w nim siedzi. Chyba, że o czymś nie wiem i jest taki sposób na ogarnięcie tego?

Dodano po 1 minucie 20 sekundach:

Wchodzą rabusie i wiercą wiertarką kolana typowi
On płacze i zarzeka się, że to nie on, a wynajmujący ma tak samo na imię - rabusie nie wierzą
Wy oglądacie streama i popijacie colę z biedronki

Dżizas @fervi , powinieneś mieć minusa jak stąd do księżyca za taki tekst. A gdzie jakieś ludzkie uczucia? ;P

[mecenas]

w momencie kiedy podpisuję kontrakt ETH z MetaMaska to nie mam zielonego pojęcia co w nim siedzi.

W sensie co siedzi w kontrakcie?

jest taki sposób na ogarnięcie tego?

- Jest: nie podpisywać kontraktów na ETH.
W imię zasady: nie rozumiem, nie wiem, nie jestem w stanie sprawdzić - nie dotykam!

[maky]

nie podpisywać kontraktów na ETH.

Tylko jak wobec tego obsłużyć Uniswap?

[fervi]

Tylko jak wobec tego obsłużyć Uniswap?

Don't verify - trust

Możesz sprawdzić (w teorii) czy kod kontraktu jest taki sam jak w repozytorium - drugim problemem jest czy kod nie ma błędów, a do tego trzeba znać ten <piiiii> <piiiii> <piiiii> <piiiii> Solidity

[Adolf_H]

Widzę, że nie masz w zwyczaju używania form grzecznościowych, więc znajdź sobie: https://buildmedia.readthedocs.org/medi ... ledger.pdf

Masz tam napisane jak wół, że się da! (może trochę mnie poniosło z tymi 100$, ale nie wykluczam, że tyle wystarczy) Podejrzewam, że na forum są ludzie, którzy potrafią to zrobić

Ledger nano s używa tego chipa i jest to technologia z 2014 (przestarzała ;P) Ponad wszelką wątpliwość już ktoś ją rozpracował.
//www.st.com/resource/en/data_brief/st31h320.pdf

Dla rozluźnienia polecam zagrać w Snake'a.

Zanim coś napiszesz to sprawdź informacje metoda ataku która została przedstawiona działa tylko na pin jeżeli ustawisz hasło do portfella odpowiednio długie nie ma możliwości włamania się ,jest szyfrowanie SHA 256 .Pin się łamie w 2 minuty.

[ManiacInThe4D]

Odświeżam temat, żeby nie zakładać nowego. W dniu dzisiejszym pełna baza z wycieku została udostępniona na jednym z forów hackerskich. Nie daję linka, bo nie wiem czy nie będę łamał w ten sposób regulaminu. W każdym razie przejrzałem i są tam dwa pliki tekstowe - jeden z mailami, a drugi z danymi adresowymi.

No cóż, Panowie z Ledgera delikatnie mówiąc minęli się z prawdą w kwestii skali wycieku. Oficjalna wersja była taka:



A rzeczywistość? 270 000 pełnych danych teleadresowych klientów - mail, imię, nazwisko, adres, kraj, telefon, w tym ponad 7 500 z Polski.

Normalnie szkoda strzępić ryja.

Dodano po 11 minutach 17 sekundach:
Baza danych https://haveibeenpwned.com/ została zaktualizowana o dane z wycieku, więc można sprawdzić swój adres email.

[miso20]

Nie rozumiem po co podawać w ogóle swoje dane, gdy można kupić w Polsce od oficjalnych dystrybutorów. Można założyć mail przez tora i do paczkomatu. Ba! Można nawet osobiście pofatygować się i kupić z ręki do reki za gotówkę xd

Podawali ludzie, no to teraz jest problem. A w gruncie rzeczy wyciek takich danych jest bardzo niebezpieczny i może skutkować nawet planem napadu na kogoś. To nie wyciek z MangoTV, choć byłyby te same dane.

[Dar0]

Można założyć mail przez tora i do paczkomatu.

To nie jest takie proste bo żeby odebrać w paczkomacie bo potrzebujesz jeszcze jakoś zapłacić (a teraz chyba gotówką nie można w paczkomatach). Pozostaje co najwyżej paczka w ruchu możesz płacić gotówka ale nie wiem czy obejdzie się bez podawania tel.

[miso20]

@Dar0 No tak, ale płatność już leci przez innego operatora. Systemy płatności mają z reguły lepsze zabezpieczenia. Poza tym jest możliwość, o której ja pisałem wyżej i ty w innym wątku - kupić za gotówkę od ręki

[Canis Lupus]

mój mail bierze już udział w tylu aferach, że chyba mnie kiedyś wsadzą

[McGravier]

mój mail bierze już udział w tylu aferach, że chyba mnie kiedyś wsadzą

Ale teraz bierze udział jeszcze twoje Imię i nazwisko, numer telefonu, oraz adres zmieszkania...

[miso20]

@McGravier wszystkie dane można podać nieprawdziwe. Jak ktoś podaje prawdziwe dane, to jakoś specjalnie mamy go żałować? xd

[McGravier]

@McGravier wszystkie dane można podać nieprawdziwe.

No adresu przesyłki nie możesz podać nieprawdziwego

[miso20]

@McGravier Jak nie można paczkomatów to słabo. Ale i tutaj ktoś może pokombinować, np. ze skrytkami, zamówieniem do sąsiada albo do jakiejś zaprzyjaźnione firmy.

Wg mnie to za dużo kombinowania. Ludzie się spuszczają, że tylko od producenta, a od dystrybutora w Polsce to już nie. A takie samo jest ryzyko, że kurier w ledgerze cos pogrzebie jak i dystrybutor.

[maky]

Przejrzałem sobie bazę na szybko. Znalazłem kilka osób ze swojej miejscowości i jeszcze więcej w okolicy.

[kozaki_wiesi]

Przy takiej ilości to każdy znajdzie sąsiada.
Bardziej niż suchych danych o kupnie sprzętu, obawiałbym się wycieków danych z giełd gdzie oprócz wszelkich danych adresowych jest jeszcze historia transakcji prowadząca do stanu portfeli.

[maky]

I już pierwszy mejl phishingowy po wycieku: pobierz najnowszą wersję! LOL

[kozaki_wiesi]

W sensie, że imienny do Ciebie bo widniejesz na tej liście?

[gofer]

@maky rzuć linkiem do pliku, dzięki.

[koparki]

Link do forum: ( https://raidforums.com/Thread-Ledger-Du ... d-Download )
Podzielcie sie, proszę danymi do zalogowania na tym forum lub linkiem bezpośrednim do pliku z jakiegoś alternatywnego źródła bo z pewnych powodów nie jestem w stanie sie tam zarejestrować. Oczywiście na priva