Bitcoin Forum

Bonjour,

Aujourd'hui on (une adresse IP située en Allemagne) m'a vidé mon compte MtGox.
Le voleur semble avoir deviné mon mot de passe, il a attendu que les taux grimpent, il a converti mes euros en BTC et a fait un virement sur son wallet.

C'est mort de chez mort ou y a-t-il un petit espoir que je récupère une partie de mon argent (une forme d'assurance de la part de MtGox) ?

Merci.

Main courante pour intrusion informatique.
Tu t'es déjà connecté sur mtgox avec ton portable ?

Merci pour vos réponses.

Ça me servirait à quoi ? (c'est une vraie question, pas d'ironie là-dedans)


Ah ben oui, c'est con, oubliez ça. ::)


Relis mon post, je n'ai jamais dit que MtGox était responsable. Le principe d'une assurance c'est justement qu'un tiers te rembourse en cas de pépin (Paypal fait ça il me semble). Ça peut faire partie d'une stratégie commerciale pour rassurer les utilisateurs du service par exemple.

Et je sais sécuriser mon mot de passe mais sur le coup j'ai été trop flemmard...

Oui je me suis déjà connecté depuis mon portable mais uniquement en wifi sur mon réseau perso (pas en 3G). Mais je pense que mon pirate a simplement utilisé une attaque par dictionnaire.

Prochaine fois utilise un mot de passe unique qui ne se trouve pas dans un dictionnaire et active l'authentification à double facteur.

Ton mot de passe était trouvable par dictionnaire...? Pas la peine que j'en rajoute j'imagine
La prochaine fois que tu es flemmard rajoute un mot devant le mot de passe (pas dans le dictionnaire de préférence), genre 'petitlupassword' au lieu de 'password'
Ca te coûte rien et ça réduit grandement le risque d'attaque dictionnaire fructueuse

Ou choisis un vrai mot de passe

Quand je parle de dictionnaire, je ne parle pas du petit Larousse. Mon mot de passe était du style "petitlupassword" mais la plupart des softs de cracking sont capables de casser ça en testant quelques combinaisons (plusieurs mots concaténés, un mot + un chiffre, un mot répété, etc.).

Bref, j'ai pris un risque et j'ai perdu (le support MtGox me l'a confirmé) :-\

Je pensais pas qu'ils croisaient autant lors d'attaques en ligne

Ou t'a juste écris gentiment ton mot de passe sur une version phishing sans t'en rendre compte.
Ou t'a juste exécuté une applet java en cliquant sur oui sans réfléchir, avec le cookie de la session mt gox toujours actif.

Dés qu'une certaine somme est dépassée, le réflexe 2FA s'impose.

https://www.mtgox.com/img/press/yubi1.jpg


Et comment est-il tombé sur ton identifiant ?
Pourquoi toi et pas un des 350.000 autres comptes ?
Un keylogger serait plus logique non ?

c quoi le réflexe 2Fa (noob)

Activer la Yubikey (Photo plus haut. Disponible sur commande) ou l'application Google Authenticator (gratuit) dans les options de sécurité. Pour quelqu'un qui a un téléphone intelligent, activer l'application Google Authenticator devrait être le premier réflexe avant même de déposer des fonds.

C'est le même principe que le digipass que te donne ta banque pour signer tes transactions

Moi aussi je suis plutôt du genre flemmard parfois, mais pour ce qui est de la sécurité de mes données (et surtout quand de l'argent est en jeu) je mets le paquet...ça évite ce genre de désagréments par la suite.

Sinon tu devrais vérifier effectivement si tu n'as pas une faille ailleurs

une adresse email de piratée ? un compte sur un forum ? un virus quelque part ? un réseau wifi ?

C'est quoi déjà la limite du nombre de caractères pouvant être brute-forcé ?

20 il me semble ?

Ça dépend de la puissance de ton ordinateur. Si c'est une attaque hors-ligne ou sur un service web. Si t'es un particulier ou la NSA.
Tu peux obtenir une estimation ici: https://www.grc.com/haystack.htm

Sans screen j'appelle ça du FUD (http://fr.wikipedia.org/wiki/Fear,_uncertainty_and_doubt) d'un concurrent :D