25.12.2015 07:07
norlin 15 3100 Источник
Доброе утро, Хабр Гики!

Зачем этот пост вообще?


Пишу этот пост только с целью предупредить тех, у кого есть средства на счету btc-e. Включите себе 2-step auth, на всякий случай.

Что случилось?


Сегодня ночью кто-то залогинился в мой аккаунт на btc-e.com с IP-адреса 178.54.229.65 – точно не имеет ко мне никакого отношения.

Никаких средств там у меня не оставалось, да и я сам последний раз логинился только год назад, в прошлом январе. То есть, если это фишинг/вирусы/etc – то чья-то старая наработка. Я пользуюсь только Mac OS, поэтому вирусы маловероятны, на фишинг, вроде бы, не попадался.

Насколько я вижу, две других возможности получить мой пароль:
0. брутфорс, но пароль у меня рандомный, поэтому фиг знает.
1. доступ к данным моего аккаунта Firefox Sync, но тогда всё совсем печально и стараюсь об этом не думать.

Спасибо за внимание и безопасного вам Нового Года!

UPD. Общественное мнение считает (и я склонен согласиться), что, наиболее вероятно, была использована слитая база с какого-то другого сайта. Данный пароль у меня был использован много где на всяких «некритичных» сервисах.

Комментарии (15)


  1. zelyony
    25.12.2015 10:25
    #8925758
    +1

    пиши в форумы https://bitcointalk.org/
    если это системно, то можно и сюда
    а сейчас это выглядит как «паникер» или «обосрать конкурента»


    1. norlin
      25.12.2015 10:27
      #8925760
      +1

      Да пофиг как выглядит, если хоть кому-то поможет.

      За ссылку спасибо.


      1. trilodi
        25.12.2015 11:21
        #8925838

        А пароль не сменили?


        1. norlin
          25.12.2015 11:22
          #8925840

          Нет, вдруг там реальный взлом и новый пароль тут же утечёт. А 2-step всё равно не даст залогиниться даже со старым паролем.


          1. trilodi
            25.12.2015 11:29
            #8925852

            Я не правильно поставил вопрос. Когда левый человек залогинился, он пароль остался прежний?
            Просто спрашиваю потому, что летом была аналогичная ситуация, но была смена пароля, что навело на мысль о взломе почты.
            Тогда средства (хоть и не большие) спас холд средств при смене пароля


            1. norlin
              25.12.2015 11:35
              #8925868

              Пароль остался прежний. Скорее всего, это какая-то автоматическая брутфорсилка (в ответ на эту статью, мне даже в личку скинули ссылку на такую штуку).

              Возможно, т.к. средств на счету не было, решили не привлекать лишнего внимания и оставили старый пароль – вдруг что-нибудь позже туда закину.


              1. trilodi
                25.12.2015 11:40
                #8925882

                очень интересно. неужели от брута нет защиты. Спасибо за информацию, установил двухфакторную авторизацию


                1. norlin
                  25.12.2015 11:44
                  #8925896

                  У меня там был относительно простой пароль. А по-поводу проверки на устойчивость – вот, тут можно проверить: www.grc.com/haystack.htm (естественно, вводить надо не настоящий пароль, а какой-нибудь аналогичный, той же длины).

                  У меня получилось «Online Attack Scenario» ~92 года (при этом, локально перебирается за 20 секунд, при предложенной скорости перебора).


                1. Mad__Max
                  26.12.2015 00:29
                  #8926620

                  Есть некоторая — там на логине Proof Of Work требуется для резкого снижения скорости перебора.
                  Но как-то все-равно регулярно ломают аккаунты у людей там, видимо очень уж цель лакомая. Это не мыло или учетка в социалке, а живые деньги с прямым доступом. И возможностью их увести без особого риска быть пойманным (в отличии от взломов банковских счетов/карт к примеру).


  1. extempl
    25.12.2015 13:01
    #8926010
    +1

    Подтверждаю, был недавно вход с айпи 5.8.37.204 (8 декабря). Та же ситуация — остатка нет, пароль не сменили. В техподдержке скзаали, что с их стороны утечек нет, так что ставьте двухфакторную авторизацию, меняйте пароли и отстаньте от нас.

    По брутфорсу вроде как на самом сайте есть защита (таймаут и блок), но может кто-то научился прямыми запросами её обходить.
    По айпишнику можно нагуглить, что он был замешан в спаме и прочих неприятностях, писал в ТП провайдера — ничего не ответили.


    1. extempl
      25.12.2015 13:05
      #8926014

      ЗЫ: Тоже на OS X, причём фактом владения акка на вышеупомянутом ресурсе нигде не светил — а ведь для брутфорса нужно и логин знать.


    1. norlin
      25.12.2015 13:21
      #8926044

      Мне тут в личку подкинули мысль о том, что это мог быть не сам по-себе брутфорс «в лоб», а проверка баз мейлов и паролей, слитых с других сайтов (в случае, если один и тот же пароль используется в нескольких местах).


      1. ValdikSS
        25.12.2015 13:52
        #8926082
        +3

        Я уверен, что так и есть. Базы BTC-сайтов ходят только так. Если вы переиспользовали этот пароль на btc-e, то сами виноваты, взлома btc-e нет.


    1. extempl
      25.12.2015 13:24
      #8926046

      ставьте двухфакторную авторизацию, меняйте пароли и отстаньте от нас.
      Это примерная цитата ответа ТП, если что.


  1. zelenin
    25.12.2015 13:47
    #8926078
    +1

    аналогично, 13 декабря пришло уведомление о входе с чужого ip. Сразу поменял пароль.