Title: Ошиблись адресом: уязвимость в Blockchain стала при Post by: negeroy on May 29, 2015, 05:56:10 PM Ошиблись адресом: уязвимость в Blockchain стала причиной неправильных денежных переводов Один из самых популярных в мире криптографической валюты Биткоин кошельков Blockchain выпускает обновление своего Android-приложения после обнаружения критической уязвимости. Из-за неё пользователи отправляют денежные переводы не по тому адресу, по которому им нужно, без предупреждения об этом. Уязвимость затрагивает приложение для Android на версиях 4.1 или более старых. Здесь используется незашифрованное соединение HTTP при доступе на сайт random.org для получения случайных чисел, необходимых для генерации частных ключей адресов Биткоин. С января random.org требует использования соединения HTTP и выдаёт ошибку при попытке зайти через HTTP. Результатом стало то, что уязвимые приложения генерировали ключи, соответствующие одному адресу 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F, независимо от задаваемого пользователем адреса. В некоторых случаях генератор псевдослучайных чисел в Blockchain на Android не получал доступа к числам, которые должны встраиваться в скачиваемые с random.org случайные числа. Не сообщая об ошибке, приложение использовало 256-разрядное число от random.org как средство для генерации ключей, так что сайт был единственным поставщиком данных для генерации ключей. Для генерации псевдослучайных чисел использовался программный интерфейс LinuxSecureRandom вместо более стандартного для Android-разработчиков SecureRandom. При этом у одних пользователей систем до Android 4.1 уязвимости проявляются, а у других нет. http://www.oszone.net/27425/Blockchain_flaw Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: daddybios on May 29, 2015, 10:15:49 PM требует использования соединения HTTPS и выдаёт ошибку при попытке зайти через HTTP
Надо бы поправить. И в первоисточнике тоже ошибка. Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: WhiteShum on May 30, 2015, 05:48:42 AM Назревает мысль, а это точно была ошибка программы ::) https://blockchain.info/address/1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F
Эта новость лучше всего характеризует причину почему популярность биткоина не растет в геометрической прогрессии и почему в биткоин особо не идет серьезный капитал- один кривой перевод и все. Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: amaclin on May 30, 2015, 07:21:35 AM Эта новость лучше всего характеризует причину почему популярность биткоина не растет в геометрической прогрессии и почему в биткоин особо не идет серьезный капитал- один кривой перевод и все. Надежность, удобность, безопасность имеют свою цену.Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту. Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: daddybios on May 30, 2015, 10:37:04 AM Надежность, удобность, безопасность имеют свою цену. Эсли разобраться то вообще нет ничего надежного и безопасного. С кредиток тоже бабки издят и не мало и регулярно но пипл хавает и молчит. Все пытаются друг друга кинуть, так было и так будет всегда.Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту. Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: poelling92 on May 30, 2015, 11:22:33 AM Эта новость лучше всего характеризует причину почему популярность биткоина не растет в геометрической прогрессии и почему в биткоин особо не идет серьезный капитал- один кривой перевод и все. Надежность, удобность, безопасность имеют свою цену.Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту. ну мне кажется тут не в платности дело, имеет место быть обычная техническая ошибка разработчиков, от которой не застрахованы и платные приложения никоим образом - Не сообщая об ошибке, приложение использовало 256-разрядное число от random.org как средство для генерации ключей Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: amaclin on May 30, 2015, 11:23:47 AM Надежность, удобность, безопасность имеют свою цену. Эсли разобраться то вообще нет ничего надежного и безопасного. С кредиток тоже бабки издят и не мало и регулярно но пипл хавает и молчит. Все пытаются друг друга кинуть, так было и так будет всегда.Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту. Комиссии банку, которые мы плятим - это по сути дела плата за то, что банк будет разбираться куда утекли баблосы с кредитки. Этот процесс, возможно, не всегда приводит к нужному результату, но все-таки является некоей преградой против явного кидалова. Биткойнеры не платят за безопасность своих "фантиков" и думают, что такая финансовая система возможна. Вопрос не в абсолютной надежности и безопасности. Всегда мы платим какой-то процент от общей суммы. Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: CryptInvest on May 30, 2015, 11:37:33 AM Надежность, удобность, безопасность имеют свою цену. Эсли разобраться то вообще нет ничего надежного и безопасного. С кредиток тоже бабки издят и не мало и регулярно но пипл хавает и молчит. Все пытаются друг друга кинуть, так было и так будет всегда.Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту. Комиссии банку, которые мы плятим - это по сути дела плата за то, что банк будет разбираться куда утекли баблосы с кредитки. Этот процесс, возможно, не всегда приводит к нужному результату, но все-таки является некоей преградой против явного кидалова. Биткойнеры не платят за безопасность своих "фантиков" и думают, что такая финансовая система возможна. Вопрос не в абсолютной надежности и безопасности. Всегда мы платим какой-то процент от общей суммы. Согласен, предположим завтра банк под каким либо предлогом заблокирует счет, что для предприятий происходит на каждом углу по предписанию налоговой, да и у обычных людей блокируют и получается, что клиенты ему эту безопасность ;D оплачивали комиссиями. ;D Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: Yaremi on May 30, 2015, 11:59:21 AM Эта новость лучше всего характеризует причину почему популярность биткоина не растет в геометрической прогрессии и почему в биткоин особо не идет серьезный капитал- один кривой перевод и все. Надежность, удобность, безопасность имеют свою цену.Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту. Quote скачав бесплатное приложение вы получите серьезную защиту Вот это поворот ;D То есть только проприетарное/не бесплатное предложение даёт серьёзную защиту? ;D Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: Yaremi on May 30, 2015, 12:03:43 PM Ежедневно небольшими суммами банки воруют миллионы долларов.
И ничего не возвращают. Только самым назойливым клиентам. У меня было такое несколько раз. Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: RichMen on May 30, 2015, 12:41:03 PM Ежедневно небольшими суммами банки воруют миллионы долларов. И ничего не возвращают. Только самым назойливым клиентам. У меня было такое несколько раз. с каждого перевода они берут долю цента и в итоге выходят миллионы наших денег у банковских карманах Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: Kostya1122 on May 30, 2015, 02:57:04 PM Ежедневно небольшими суммами банки воруют миллионы долларов. И ничего не возвращают. Только самым назойливым клиентам. У меня было такое несколько раз. с каждого перевода они берут долю цента и в итоге выходят миллионы наших денег у банковских карманах Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: kenshi222 on May 30, 2015, 03:35:17 PM Ежедневно небольшими суммами банки воруют миллионы долларов. И ничего не возвращают. Только самым назойливым клиентам. У меня было такое несколько раз. в смысле ? чего, прямо со счёта уводили что ли ? но без следов это вроде как не возможно, всё правно движение денег отражается как то. не знаю, у меня со счёта в банке никогда не пропадало ничего, я всегда слежу сколько у меня там ;) Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: Yaremi on May 30, 2015, 04:51:18 PM Ежедневно небольшими суммами банки воруют миллионы долларов. И ничего не возвращают. Только самым назойливым клиентам. У меня было такое несколько раз. в смысле ? чего, прямо со счёта уводили что ли ? но без следов это вроде как не возможно, всё правно движение денег отражается как то. не знаю, у меня со счёта в банке никогда не пропадало ничего, я всегда слежу сколько у меня там ;) Ну да, прям со счёта Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: kenshi222 on May 30, 2015, 05:03:01 PM в смысле ? чего, прямо со счёта уводили что ли ? но без следов это вроде как не возможно, всё правно движение денег отражается как то. не знаю, у меня со счёта в банке никогда не пропадало ничего, я всегда слежу сколько у меня там ;) Ну да, прям со счётаинтересно, это наши банки такой хренотенью балуются, или у тебя в каком то зарубежном так попёрли втихаря ? а как ты заметил, какие то исходящие транзакции всё же со счёта были, которые ты не делал ? а банк чего объяснил ? Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: negeroy on May 30, 2015, 06:39:47 PM в смысле ? чего, прямо со счёта уводили что ли ? но без следов это вроде как не возможно, всё правно движение денег отражается как то. не знаю, у меня со счёта в банке никогда не пропадало ничего, я всегда слежу сколько у меня там ;) Ну да, прям со счётаинтересно, это наши банки такой хренотенью балуются, или у тебя в каком то зарубежном так попёрли втихаря ? а как ты заметил, какие то исходящие транзакции всё же со счёта были, которые ты не делал ? а банк чего объяснил ? у моей знакомой так с кредитной карты, только что оформленной, в интернет магазинах товары покупали, во время успела заблокировать,ну почти во время), почти на штуку зелени товаров какие-то деляги успели купить, потом долго разбирались, но кто то из служащих банка химичил Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: kenshi222 on May 30, 2015, 07:07:21 PM в смысле ? чего, прямо со счёта уводили что ли ? но без следов это вроде как не возможно, всё правно движение денег отражается как то. не знаю, у меня со счёта в банке никогда не пропадало ничего, я всегда слежу сколько у меня там ;) Ну да, прям со счётаинтересно, это наши банки такой хренотенью балуются, или у тебя в каком то зарубежном так попёрли втихаря ? а как ты заметил, какие то исходящие транзакции всё же со счёта были, которые ты не делал ? а банк чего объяснил ? у моей знакомой так с кредитной карты, только что оформленной, в интернет магазинах товары покупали, во время успела заблокировать,ну почти во время), почти на штуку зелени товаров какие-то деляги успели купить, потом долго разбирались, но кто то из служащих банка химичил да с кредиткой то служащим банка и химичить не надо, достаточно просто посмотреть номер карты и три цифры сзади которые, не помню точно как называется - ССV код по моему, и всё, можно в интернете платить и покупки делать Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: in100 on May 30, 2015, 07:44:22 PM да с кредиткой то служащим банка и химичить не надо, достаточно просто посмотреть номер карты и три цифры сзади которые, не помню точно как называется - ССV код по моему, и всё, можно в интернете платить и покупки делать У Визы и МастерКарда, по-моему, обязательно (в смысле нельзя отключить) идёт СМС-подтверждение.Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: negeroy on May 30, 2015, 08:10:01 PM да с кредиткой то служащим банка и химичить не надо, достаточно просто посмотреть номер карты и три цифры сзади которые, не помню точно как называется - ССV код по моему, и всё, можно в интернете платить и покупки делать У Визы и МастерКарда, по-моему, обязательно (в смысле нельзя отключить) идёт СМС-подтверждение.совершенно верно, поэтому как они производили оплату остаётся загадкой, скорее всего, я же говорю что-то там "химичили", потому как на её телефон никаких подтверждений не приходило Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: kenshi222 on May 30, 2015, 08:21:22 PM да с кредиткой то служащим банка и химичить не надо, достаточно просто посмотреть номер карты и три цифры сзади которые, не помню точно как называется - ССV код по моему, и всё, можно в интернете платить и покупки делать У Визы и МастерКарда, по-моему, обязательно (в смысле нельзя отключить) идёт СМС-подтверждение.совершенно верно, поэтому как они производили оплату остаётся загадкой, скорее всего, я же говорю что-то там "химичили", потому как на её телефон никаких подтверждений не приходило ну тогда я думаю здесь только один вариант - смс подтверждения отправляет сервер банка ? изменить время сервера что бы он отправил смс подтверждения позже, но это наверное сложный путь. но вообще - сугубо имхо ;) Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: Kostya1122 on June 01, 2015, 10:46:27 AM да с кредиткой то служащим банка и химичить не надо, достаточно просто посмотреть номер карты и три цифры сзади которые, не помню точно как называется - ССV код по моему, и всё, можно в интернете платить и покупки делать У Визы и МастерКарда, по-моему, обязательно (в смысле нельзя отключить) идёт СМС-подтверждение.совершенно верно, поэтому как они производили оплату остаётся загадкой, скорее всего, я же говорю что-то там "химичили", потому как на её телефон никаких подтверждений не приходило Сейчас уже требует подтверждения СМС кода. Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: negeroy on June 01, 2015, 01:00:07 PM немного дополнений к теме
Пользователи кошелька Blockchain потеряли биткоины из-за ошибки в программе Несколько пользователей мобильного приложения Blockchain потеряли биткоины из-за ошибки в программе. Компания рекомендует клиентам обновить приложение до последней версии. Blockchain предупредила клиентов о возможной потере биткоинов в специальном объявлении: «В некоторых редких случаях ошибка в программе может привести к тому, что один и тот же адрес при отправке биткоинов копируется несколько раз, из-за чего несколько пользователей потеряли средства». Ошибка устранена в последних версиях приложения, однако остается в некоторых старых вариантах. «Речь идет о биткоин-адресах, которые были созданы приложением Blockchain, работающим под оперативной системой Android 4.1 или более ранними версиями. Пользователям следует скачать последнюю версию нашего приложения из Google Play, а также обновить саму систему Android». Blockchain – это один из ведущих сервисов биткоин-кошельков в мире. Число биткоин-кошельков, размещенных на лондонской платформе Blockchain.info, неуклонно росло на протяжении последнего года. Оно достигло отметки в один миллион в январе 2014 года, и в два миллиона в августе 2014 года, а в 25 февраля 2015 года Blockchain заявил о регистрации трехмиллионного по счету кошельке на своем сервере. Второй по популярности сервис, Coinbase, в настоящий момент поддерживает 2,5 млн кошельков. Ссылаясь на защиту частной жизни своих пользователей, компания отказывается сообщить, какой процент пользовательских аккаунтов активен. Однако, как утверждает глава компании Питер Смит, большинство новых пользователей имеют не более одного аккаунта. Они в основном происходят из таких стран, как Аргентина и «периферия Еврозоны», где люди потеряли доверие к местной финансовой системе. http://www.coinfox.ru/novosti/2133-bug-in-the-old-version-of-blockchain-wallet-led-to-loss-of-funds-2 Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: WhiteShum on June 01, 2015, 08:54:49 PM Эта новость лучше всего характеризует причину почему популярность биткоина не растет в геометрической прогрессии и почему в биткоин особо не идет серьезный капитал- один кривой перевод и все. Надежность, удобность, безопасность имеют свою цену.Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту. Наивно думать, что платная программа даже от всемирно известного бренда лучше чем бесплатная обезопасит тебя и твои вложения, даст тебе какие-то гарантии и попросту будет лучше бесплатного сервиса\программы. :-\ Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: SuRuEu on June 02, 2015, 01:59:39 AM если кому то достанется этот адресок, ему повезет ;D
сейчас еще спамеры туда накидают понемногу :) Title: Re: Ошиблись адресом: уязвимость в Blockchain стала пр Post by: amaclin on June 02, 2015, 05:13:08 AM если кому то достанется этот адресок, ему повезет ;D Теоретически можно попробовать установить себе "старый клиент с багом" на эмулятор и погонятьсейчас еще спамеры туда накидают понемногу :) Найти приватный ключ от этого адреса 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F И посмотреть не создает ли программа другие адреса одинаково. Но меня ломает. |