Bitcoin Forum

State attenti là fuori.
Mi hanno rubato 24 BTC nonostante avessi una password unica di 20 caratteri scelti da lastpass, avessi l'autenticazione a 2 fattori con Google authenticator e avessi richiesto la conferma tramite email alle mie richieste di prelievo.
Ho denunciato sul forum e questo é lo thread per chi legge l'inglese: https://bitcointalk.org/index.php?topic=500266.0;topicseen

Questa é la storia dell'hacking come la riporta Bitstamp:
* 2014-02-22 19:56:08   109.163.234.9   Logged in using two-factor authentication
* 2014-02-22 20:01:39   109.163.234.9   Opened bitcoin withdrawal request for 23.83677391 BTC to 1PGPkndy1nYLUee3nKKLez8smjqK5zBNKE
* 2014-02-22 20:01:39   109.163.234.9   Bitcoin withdrawal request: email was sent to user
* 2014-02-22 20:02:00   109.163.234.9   Bitcoin withdrawal request: email confirmed by user
* 2014-02-22 20:09:33   161.53.74.122   Changed user password
* 2014-02-22 20:12:33   96.47.226.20   Opened instant buy order for $36.30
* 2014-02-22 20:13:38   96.47.226.20   Opened bitcoin withdrawal request for 0.05965404 BTC to 1PGPkndy1nYLUee3nKKLez8smjqK5zBNKE
* 2014-02-22 20:13:38   96.47.226.20   Bitcoin withdrawal request: email was sent to user
* 2014-02-22 20:15:35   96.47.226.20   Bitcoin withdrawal request: email confirmed by user
* 2014-02-22 20:24:24   141.212.108.13   Changed user password

Le cose incredibili sono a mio parere: il furto delle credenziali, il furto dei codici dell'autenticazione con Google Authenticator, la presa possesso dell'email (per cui hanno confermato il prelievo al posto mio cancellando poi l'email relativa) e il fatto che abbiano cambiato la mia password per poi continuare a svuotarmi l'account comprando 36$ di bitcoin per poi prelevarli.

Bitstamp mi ha risposto dopo 5 giorni... Speravo un po' più di impegno. Mi hanno confermato che a loro non risulta niente di anormale (nello specifico il ladro non ha cambiato l'email a cui mandare le conferme e ha risposto al posto mio e poi ha cancellato le tracce).

Sul forum a parte l'ovvietà che uno non impara mai che non si tengono i soldi sugli exchanges (di solito non lo faccio ma sono stato impegnato e... punito) la cosa che risulta molto imprudente é fare login sullo stesso device dove c'é google authenticator e dove c'é la tua email (con password ovviamente memorizzata).

Guardando sui log degli accessi alla mail risultano accessi da molti paesi segno evidente che avevano il controllo della mail e la manovravano attraverso TOR.

Spero che questo POST sia utile ad altri. se avete bisogno di chiarimenti sono a disposizione ma nel frattempo: paper wallets ed electrum o Armory offline per gli importi che non volete perdere.

Non sei solo, c'era un post simile stamattina su reddit.

tieni le tue password da qualche parte salvate? tipo dropbox o similari?

in ogni caso avevano pieno accesso ad ogni tuo account

già... era il mio... :-[

Lastpass... Così imparo a "tradire" i ragazzi di Clipperz...  :-\

Direi che avevi le password scritte in chiaro da qualche parte sul cellulare ( o sul PC di casa o in un account da qualche parte ?)  e te le hanno sottratte

Ti sovviene ?

J

No. Questo no. Assolutamente.

Incredibile.
Posso chiederti che sistema operativo utilizzavi? Se hai fatto tutto dallo smartphone?

Ma come cazzo hanno fatto a fottere tutto insieme? E' assurdo..

Se hanno preso il controllo del pc tramite rat o malware vari non c'è password che tenga  :-\

ciao
se avete windows compratevi kaspersky internet security su ebay costa poco...
Kurmi

Gli fa una sega kaspersky..

Comunque usava apple, mi son letto tutto il topic inglese e sono piuttosto convinto che il vettore di infezione sia stato il cellulare, ma gabriele dovrebbe confermare di essersi loggato attraverso il telefono sia a bitstamp che a gmail.

E poi è strano che siano usciti da tor per loggarsi a gmail, che mi rompe il cazzo anche a me quando vado in vacanza (senza cambiare pc).

Concordo

mi rifiuto di pensare anche per un'attimo che abbiano agito dall'interno , a meno che non abbiano sniffato il traffico prima di entrare in bitstamp, ma e' cosa da poche persone e dotate di mezzi non alla portata di chiunque

Credo che FaSan , potrebbe dire la sua con ottima cognizione di causa sull'argomento ;)
 
J

la cosa sorprendente è come hanno fatto ad avere il codice dell'autenticator ..
cioè quella è una cosa che viene salvata solo sul telefonino... quindi o ti hanno toccato il telefono e preso i dati oppure non vedo in che altro modo...
tutto il resto è fattibile..
certo che se hai il telefono rootato e lo colleghi al pc allora il discorso è diverso... dato che a quel punto avrebbero potuto prendere i dati del telefono (e quindi il tuo auth) per poi far tutto il resto....
per quel che riguarda il resto.... beh potresti avere anche una sorpresa su windows... ovvero potresti ritrovarti con un nuovo utente sul computer che tu non hai mai creato...
(da dos si vede scrivendo "net user")
il metodo di crearsi un utente è un metodo che ho usato anch'io ai miei tempi quando facevo il piccolo hacker (tipo 15 anni fa :-P)
sostanzialmente una volta che si bucava il pc e si aveva l'accesso si creava un utente che girando in background poteva fare quello che voleva ... entrando con un programma di accesso remoto qualsiasi sul 2° utente potevi muovere il mouse aprire programmi ecc ecc all'insaputa dell'utente principale... ovviamente ha i suoi svantaggi dato che è un metodo che lascia tracce (utente, e si vedono i processi aperti dall'utente nel taskmanager... ma non ci fa mai caso nessuno.... difficilmente qualcuno li noterebbe almeno che non li cerca)
cmq in questo modo avrebbe potuto facilmente accedere al telefono nel momento in cui lo collegavi e scaricarsi il database dell'auth di google per poi installarlo sul suo e effettuare il login (a quel punto avrebbe potuto fare anche tutto dal tuo pc mentre tu magari lo stavi usando e praticamente copiando la cartella di chrome/ff/etc sull'altro utente aveva anche tutte le sessioni già aperte... quindi mail già loggata di google che non viene mai sloggata :-P)

cmq è altamente probabile che hai il pc infetto (o il telefono) ... perchè è l'unico modo per riuscire ad avere il 2factor ...

Usi lastpass con la yubikey?

Stavo giusto leggendo e l' unica cosa che mi viene in mente è che abbiano avuto accesso al cellulare o ad un backup dello stesso. Ma anche in bluetooth in birreria la sera se per caso fosse stato acceso.

Trafugando i file di configurazione del 2FA e della casella email, il resto è un gioco da ragazzi

Oddio tralasciando ovviamente tutto ciò che è sniffing e affini. Troppo complesso e comunque insufficiente per il 2FA. Senza contare che il traffico verso Bitstamp è in SSL, quindi anche sniffando la vedo davvero dura.

LastPass non lo conosco, non mi affiderei mai ad un servizio del genere... ma potrebbe essere stata la chiave di volta.



FaSan

Le mie condoglianze.  :'( Avevi pure preso tutte le precauzioni del caso!

Monello.........   ;)

e mi sa che in questo forum non sei stato il solo ....... tralasciando i "vecchi" che bucavano Vax  ;D ;D ;D

J

Potrebbe essere stata una persona a contatto con i tuoi dispositivi o computer?
Oppure, nel peggiore dei casi:
Potrebbe essere stato BitStamp con una mossa ben studiata?

Io Bitstamp lo escluderei. A farla losca non si sarebbero certo preoccupati di far sparire 24 miseri BTC.

Se rubano ad un esperto la cosa è veramente triste.
Chiedo una cosa anche se quanto scritto per me è complicato. Non ho neppure un cellulare che possa gestire googleautenticator.
Secondo voi gmail con l'autenticazione mediante invio di sms è sicuro?
Non ho studiato la cosa, mi sembra d'aver letto che invia un sms, se non riconosce lo stesso computer da cui è stato fatto l'ultimo accesso. Credo che non centri nessun controllo dell'ip.
Sempre queste reti anonime tipo tor, ma email e siti che blocchino l'acceso a tali reti a richiesta dell'utente, non esistono?

X Trigun
ho lanciato net user  ::)

Se gli esperti di questo forum riuscissero a dare un nome alle minacce alla nostra sicurezza e quindi anche a dare delle soluzioni, sarebbe veramente utile.
Leggevo su Cryptsy di malavare con keylogger



Io dico, dire il nome, cosi verifico se il mio antivirus lo risconosce pare brutto...

Un computer sicuro è un computer spento. (cit.)

... ed io aggiungerei anche con il cavo elettrico staccato ;-)


e... il più grande rischio per la sicurezza del PC è il tipo che sta seduto davanti al monitor.



FaSan

Mi dispiace per la tua perdita, spero tu non l'abbia pagati quanto valgono ora.
Una domanda: Sei fra quelli che avevano ricevuto email e blocco dell'account circa 2 settimane fa ?

Mai,  mai, mai
usare il dispositivo per il TFA per connettersi al servizio su cui si usa il TFA.

Mai, Mai, Mai
loggare la mail su cui si ricevono le conferme con il dispositivo del TFA

Avere sempre un antivirus attivo

Stare sempre dietro ad un router e mai avere la connessione internet diretta al PC

Forwardare solo le porte che si usano in entrata (tipo eMule, BitTorrent, etc.) e basta.

Non scaricare warez e compagnia bella.

Bitstamp guadagna 6 milioni di dollari l'anno di sole fee.....................

ma per favore.

Spiacente per la perdita :(

Da questo caso si può ricavare una lezione:

Google authenticator va installato su un dispositivo separato, un altro smartphone che non sia collegato alla rete e mai usato per accedere alla propria email o ai siti web dove è richiesto 2FA

E devo rimediare anch'io perchè non ci avevo pensato.

Resta da capire come hanno potuto accedere allo smartphone nel caso specifico. Se hanno potuto usare la 2FA l'infezione dev'essere avvenuta da lì e non sul computer, giusto? Che modello è? E' rootato? Hai sempre scaricato app, specialmente relative a bitcoin, solo da playstore o anche da altre fonti? Anche playstore non è 100% sicuro, hai delle app sospette?

I keylogger come dice il nome stesso intercettano tutti gli input da tastiera. Il RAT da me citato (Remote Administration Tool) serve per prendere il pieno controllo del pc in remoto.
Fasan ha ragione (mi pare di capire che sei un esperto di sicurezza informatica?), chi è vicino a questi argomenti sa bene che il computer sicuro è quello che non esiste. Il miglior antivirus è l'utente, gli antivirus riconoscono solo i malware ormai già diffusi (altrimenti secondo quali criteri potrebbero scoprirli?), se vi beccate una 0day (0 giorni, si tratta di falle appena scoperte) non possono aiutarvi neanche loro. Per non parlare dei software che criptano i virus in modo da renderli invisibili.

Possiamo aprire un topic in sticky che spiega come funzionano i vari virus (non un semplice dizionario, ma un vero e proprio vadevecum dove viene spiegato anche come comportarsi in caso di problemi). Che ne dite? Dimostriamo al mondo che la comunità italiana sta avanti  ;)

ci sono talmente tante variabili e sistemi violati che mi fa pensare che a eseguire il tutto sia stato qualcuno vicino a te.

...mi fa pensare che abbiano bucato bitstamp e stiano prelevando un pezzetto alla volta...

Potresti mettere giù una lista delle app dedicate a Bitcoin che avevi sul telefono?

beh era il periodo in cui c'erano tutti i forum warez e era solito bucare i pc per installarci il demone ftp dove caricare la roba ^_^
poi avevo tipo 13-14 anni... mi divertivo pure :-)
tra l'altro ero pure una brava persona... una volta che gli bucavo il pc patchavo anche il bug in modo da non poterlo + riusare :-) (che poi lasciavo una backdoor è un dettaglio :-P)

suppongo che non hai trovato nulla di strano


c'e' sempre da considerare che se il telefono non è rootato puoi mettere qualsiasi app nel programma ma sicuramente non possono accedere ai dati di altri programmi....
quindi boh

mi sembra pure a me.

Anche se mi sembra che sia già successo in passato.

A me è capitato invece per ben 2 volte che hanno fatto transazioni fraudolente con la mia carta di credito nonostante stia attento, per fortuna in questi casi dopo la denuncia i soldi non ti vengono scalati.



La massima sicurezza quale sarebbe quindi ?

- Tenere meno bitcoin o fiat possibili sugli exchangers
- Loggarsi agli exchangers con un computer separato dedicato possibilmente con un SO Linux pulito e utilizzare ubikey,riconoscimento facciale e BioMouse (se conoscete altro postate)
- Avere un cellulare dedicato a collegarsi per il 2FA, non all'interno della stessa rete wifi ma usando la rete mobile
- Avere un cellulare dedicato a collegarsi per la conferma della transazione, non all'interno della stessa rete wifi ma usando la rete mobile, per assurdo anche con un operatore telefonico diverso
- Avere un cellulare dedicato a generare password nuove ogni volta che si accede, non all'interno della stessa rete wifi ma usando la rete mobile, per assurdo anche con un operatore telefonico diverso

finite le transazioni chiudere tutto in diverse cassaforti.

si può fare di meglio ?

Tranne effettivamente la più importante: mai lasciare simili cifre su un exchange.

Spiace moltissimo anche a me. Invito a sporgere querela presso la polizia postale al più presto.

Bisogna sempre valutare se ne valga la pena. Se uno dovesse effettuare giornalmente transazioni presso gli exchange per cifre quali quelle rubate in questo caso, probabilmente sì; ma per utenti "normali" che movimentano il corrispettivo di poche centinaia di euro, a mio avviso anche precauzioni più banali potrebbero essere considerate sufficienti.

Comunque sarebbe molto utile per tutti se si riuscisse a capire in dettaglio cosa sia effettivamente avvenuto.

Ciao!

Non ho gli estremi per dire se sbaglio o meno (non avendo mai provato personalmente), e non so se Bitstamp abbia preso misure di sicurezza in merito ma....

Un semplice 2FA Bruteforce ?

Magari il tuo device mobile non era compromesso, ma il tuo computer sì. Avendo già due dati su 3 (ID e password) sarebbe stato possibile effettuare un bruteforce del 2FA "al contrario".

Ciò che intendo dire è che stiamo parlando di 6 cifre, provare a fare login a nastro sempre con lo stesso codice (e con un bot che lo fa è possibile anche fare svariati tentativi al secondo) potrebbe essere stata un'opzione, e potrebbe essere il motivo per cui Bitstamp ha implementato il 2FA anche sui withdrawal, di recente.

Ora, ripeto, non ho gli estremi per dire se mi sbaglio o meno, magari dopo 10-15 tentativi andati a vuoto Bitstamp semplicemente blocca l'account in automatico. Se l'audit e il conseguente blocco invece dovessero invece essere manuali, potrebbe essere intercorso un tempo ragionevolmente lungo che abbia permesso all'attacker di violare il tuo account e ripulirlo.

Mi dispiace davvero per la tua perdita.
La rom del telefonino era originale o un mod tipo cyanogen?
Puoi dirci marca e modello del telefono? A volte i costruttori, in buona fede, apportano modifiche a kernel ed applicativi e nel farlo introducono potenziali buchi di sicurezza, avere certe informazioni potrebbe esser utile se non altro a chi ha lo stesso modello

Rubano interi database di dati di carte di credito. A un utilizzo fraudolento di una mia carta tempo fa ho collegato la notizia di un furto di DB avvenuto poco prima.

mi spiace molto per la tua perdita, peraltro notevole. Mi chiedo come sia possibile, soprattutto Co  i 2 fattori di autenticazione. Potrebbe significare che non esiste alcun hacker ma il ladro è dentro bitstamp ..... assurdo ma la spiegazione più probabile. Piuttosto che un hackercche ha accesso al stesso tempo a PC e smartphone... se questo fosse vero siamo tutti ad altissimo rischio. Io per fortuna ho i prelievi di btc disattivati. Puoi postare l indirizzo che te li ha Rubati?

C'e' anche questa da tener presente :

http://www.ehackingnews.com/2014/03/bitstamp-hacked-users-are-receiving.html

ma il codice 2FA cambia ogni tot di tempo.

bisogna provare tutti i codici possibili entro questo lasso di tempo,oppure si va a vuoto.non so se sia fattibile però.

http://www.ehackingnews.com/2014/03/hackers-compromise-300000-soho-routers.html

una simile manipolazione potrebbe c'entrare qualcosa ?

Aggiungo anche..
http://www.tomshw.it/cont/news/google-rivede-l-autenticazione-in-due-step-era-vulnerabile/43450/1.html

Non c'è nessuna ragione di ipotizzare bruteforce di 2FA, se qualcuno è entrato nel suo smartphone si speiga tutto perchè poteva usare la sua email e google auth. Mi piacerebbe solo sapere come è stato compromesso il suo smartphone.

E poi ribadisco la lezione che ho scritto prima: google auth va installato su un dispositivo diverso, un cell scasso va benissimo

Anche per me, il punto debole e il cell, sarebbe utile sapere se, era rootato , quali applicazioni aveva installato, se erano tutte originali.
Se era rootato e ha salvato un backup su pc ? che sistema ha?
Un bruteforce su 2FA in un minuto mi sembra molto difficile.
Detta così è un po inquietante, Avere qualche dato in più per chiarire nel possibile la situazione sarebbe meglio.

"Android WebView Exploit" un exploit vecchiotto, ma da un paio di settimane è disponibile il modulo per metasploit...androind da 4.2 in giu quasi tutti vulnerabili root o non root

http://community.rapid7.com/community/metasploit/blog/2014/02/13/weekly-metasploit-update

Yubikey su mac, google authenticator su android

Sì. É la cosa più sensata. Se ho fatto login su lastpass su bitstamp col telefono usando la 2fa può effettivamente darsi che abbiano sfruttato la mia sessione.

Purtroppo ho ripristinato il telefono e la storia del browser lastpass penso non sia recuperabile.


Ora lo so... :'(

Telefono non rootato. Le copie dei programmi tutte prese dal play store.
Nessun contatto con i mac se non le sincronizzazioni di google ed evernote.

Grazie per la solidarietà ragazzi.
No. Non ero tra quelli.

Non è magari uno di quei programmi che ha dentro l'exploit?

Concordo con i dubbi su Bitstamp o su qualche loro dipendente o comunque su qualche complicità interna. Sono cose possibili.

Sul controllo (fisico) dei miei dispositivi ho invece forti dubbi. Non ho gente esperta intorno.
Detto questo devo ammettere che non posso escludere niente.

Mycelium, blockchain, Android wallet. Le altre sono le solite applicazioni popolari... Niente singolare.

Sì io penso che sia stato il telefono. Samsung galaxy sII. Gt-i9100 versione android 4.1.2 (ripristinato oggi).
Non so dirti se mi abbiano ripristinato una versione diversa... Non é mai stato rootato (questo lo sapevo anch'io).

Ottima idea. Io però farei una cosa per punti o regole per evitare i problemi. Il perché dei consigli o il funzionamento dei malaware lo metterei come approfondimento come link.

A questo punto non ci si può nemmeno fidare delle applicazioni android sul playstore.
Potremo essere tutti infetti senza saperlo e brutto da dire ma sembra un dato di fatto.

Samsung galaxy SII. Non ho cambiato la rom. Solo roba standard.

É nel post iniziale nella storia.

Sono anch'io convinto che il responsabile é il telefonino. Era presente su un solo device tutto quello che serviva:

Username e password (forse la sessione di login), google authenticator e gmail che aveva la password memorizzata.

Mi dispiace deludervi ma non ricordo esattamente se mi sono collegato quella sera con Bitstamp. Lo ritengo molto probabile perché ero lontano da casa e quando non ho il mac vado spesso sui siti col telefono...

mah ...
sinceramente son 2 le cose...
o avevano il telefono in mano... o il pc è infetto...
non vedo altri modi per fare un login su un sito....
il problema è che se anche il pc fosse infetto il codice del cell non lo dovrebbero avere in nessun modo dato che il telefono non è rootato... quindi no root -> no accesso a i dati di google auth

quindi secondo me è impossibile....
ovviamente escludo un hack completo a bitstamp perchè in quel caso avrebbero svuotato tutti e non solo te..


PS potevi fare 1 post unico per rispondere a tutti :-P

Grazie ragazzi.
Il vostro interessamento mi fa sentire meno isolato.
C'é una legge non scritta nel mondo Bitcoin che in parte condivido: i bitcoin sono l'unico denaro sotto il tuo esclusivo controllo e se te li rubano la responsabilità é tua.

Ciònonostante é giusto avere amici che, nell'interesse comune cerca in tutti i modi di limitare e perseguire i furti perché la prossima vittima potremmo essere noi.

Vi chiedo perdono se ho risposto solo stasera ma oltre a diversi impegno ho dovuto reinstallare due "vettori": telefono e mac. Mi manca solo il secondo mac poi potrò ripartire.

Spero di avere risposto in modo abbastanza esauriente alle domande ma capisco di non poter essere completamente d'aiuto in quanto ormai il telefono é ripristinato.

Concordo con la necessità di best practices sticky.

Quando leggiamo di un hack normalmente diciamo "un altro che non aveva la 2FA". É stato sconvolgente per me sapere che uno con la 2FA, la password lunga e unica e la conferma via email era stato derubato. Sapere che ero io mi ha proprio sciolto.

Ma quando cazzo arrivano 'sti TREZOR ???????

Mi chiedo se esiste un sistema migliore di Android per poter operare, dato che pare sia stato violato con una delle applicazioni del market e non era nemmeno rootato.

Torniamo tutti al vecchio Symbian

non è possibile ...
android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa...
e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere...
gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P)
potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile...
cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)



es banale...
su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)

Ti assicuro che non sei l'unico rimasto sorpreso! Almeno cerchiamo di imparare qualche lezione.

Quindi in base a queste considerazioni, qual'è la tua ipotesi su quanto accaduto?

Si ma come accennavo prima, un bluetooth con accesso ai file può benissimo scaricarsi il file conf della 2FA e ripristinarla sul proprio dispositivo. Così come la synch che fà backup online, se comprensiva dei dati delle app.



FaSan

Premetto che non me intendo, ma l'accaduto mi ha subito riportato alla mente questa notizia:

http://gigaom.com/2014/01/21/study-shows-99-of-mobile-malware-in-2013-targeted-android-devices/

per quanto possa esser buggato il bluetooth.... non ha modo di scaricare il file ... il file è accessibile solo con permessi di root che sono ottenibili solo tramite root del telefono...
non mi risulta si possa fare un backup del programma senza root.... quindi non vedo come possano aver recuperato il file....
inoltre tutti i dispositivi dopo il 3310 hanno il bluetooth con timer ... e praticamente anche se hai il bluetooth attivo se non flagghi la casella sei invisibile (e se la flagghi sei visibile solo per 120 sec) cioè avresti il dispositivo solo in ascolto... e risponde solo a chi ha già ottenuto una connessione (ovvero conosce il mac del telefono e la password) quindi i vecchi virus non possono + far molto

sarebbe interessante vedere il log di bitstamp anche prima e dopo del fatto

ho letto tutto...e onestamente non riesco a trovare una possibile spiegazione,a parte qualche malware sul cellulare,ma il fatto che non sia rootato rende la strada non tanto percorribile IMHO.

Mi verrebbe più da pensare ad un attacco "fisico",qualcuno che abbia preso il tuo cellulare e abbia curiosato qua e là oppure tenderei a dare la colpa a bitstamp stesso.

Di sicuro per prendersi tutte queste seccature il cracker è andato a colpo sicuro,probabilmente per pochi btc non si sarebbe nemmeno mosso,non è roba da 5 minuti.

Ultimo sospettato potrebbe essere lastpass se hai utilizzato il loro servizio di backup in cloud delle tue password...ma anche là rimarrebbe da superare il 2fa.Che sia buggata l'implementazione di bitstamp?

No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.




FaSan

quindi presumi sia un "semplice" malware windows e che sia riuscito a leggere i dati del cellulare?

Di sicuro hanno avuto accesso al file di configurazione del 2FA e quello della casella email configurata nel telefono. Prendendo questi due file e ripristinandoli su un' altro device, hanno avuto un accesso totale all' account.

Che siano passati per windows, o che abbiano trovato tutto online da un backup effettuato (lastpass, google drive, dropbox), o un malware (o una app rubadati autorizzata al filesystem)  rimarrà un mistero.



FaSan

non mi risulta che sia possibile syncare il file dati delle applicazioni... (se non lo hai rootato)

il mistero si infittisce

ipotesi n°1 :

again. 2fa bruteforce.
una carta di credito rubata, un centinaio di istanze cloud da due soldi con 10 IP cadauna, un buon programmatore AWS e un'oretta o due di pazienza. con un centinaio di tentativi al secondo effettuati dalle 100 istanze (dunque 10\sec per IP), abbiamo circa 600mila tentativi al minuto. Un po' di fortuna (che non guasta mai) e in un'oretta o due violi l'account. stiamo ipotizzando un software non esattamente alla portata di tutti, ma assolutamente realizzabile.
se bitstamp non aveva adottato misure preventive automatizzate per il blocco degli accounts a fronte di eccessivi tentativi (e nessuno qui mi ha ancora confermato che le aveva adottate, confermatemelo e tutto ciò che ho detto è assolutamente infondato) e se gli audit sul blocco erano manuali, non stiamo parlando affatto di fantascienza. non per niente gli home banking ti silurano l'account, dopo il terzo tentativo 2FA fallito, e devi andare in banca a fartelo riattivare.
su come abbiano avuto le altre credenziali non saprei, ci sono 1000 modi diversi. il più probabile è un semplice keylogger sul tuo computer, un'analisi forense smentirà\confermerà questa tesi.

ipotesi n°2 :

non so quanto sia reversabile il 2FA per risalire al codice padre, francamente non so proprio con che algoritmo funzioni.
tuttavia, se esiste una possibilità di reversare il 2FA, avendo per le mani il keylog di un numero sufficiente accessi 2FA e relativo timestamp, avrebbero potuto rigenerare il codice padre. Questa cosa mi fa ancora più paura, fuffa ?

io propendere per l ipotesi che questo non sia mai accaduto o è accaduto diversamente da come descritto, non avrebbe senso, sarebbe il primo caso al mondo.

600mila tentativi al minuto e Bitstamp non si è accorto di niente ? mi sembra improbabile... senza contare che i tentativi sarebbero loggati e non ci sono nei log mostrati. Inoltre se fosse così avremmo centinaia di utenti potenzialmente hackerati, invece al momento si ha notizia di uno solo.

Io propengo per la soluzione più semplice, ovvero avere avuto accesso al file .dat del 2FA dell' utente.



FaSan

inoltre stiamo parlando dell'auth di google.... penso che sia previsto già un sistema anti bruteforce... con tutta la sicurezza che si sforzano di mettere... una banalità del genere sarebbe il massimo

secondo me o aveva il codice padre per l'auth .... oppure aveva una sessione aperta...

il file di cui parla fasan io sono abbastanza convinto che non sia ottenibile senza root...

Forse è stata sfruttata la sessione aperta ?

Vedi http://www.tomshw.it/cont/news/google-rivede-l-autenticazione-in-due-step-era-vulnerabile/43450/1.html

Scusate se, da perfetto noob, non riesco a esprimermi in termini tecnici.
Io direi che questo è stato un tentativo "mirato" cioè ci sono migliaia di hacker e cagate varie, ma non è che tutti conoscono i bitcoin, bitstamp, ecc.
E' capitato anche a me che hanno bucato il pc e hanno provato ad accedere al mio paypal o moneybookers, ma non certo ad altre cose che avevo salvate sul pc, perchè magari chi lo ha bucato non sapeva nemmeno cosa fossero.
Il tizio che ha rubato è andato a colpo sicuro, conosceva i bitcoin, bitstamp ecc, per questo penso sia stato o uno che gabridome conosce qualcuno che ha preso dati di utenti bitstamp.

Cmq, mi dispiace davvero moltissimo per Gabri, perchè mi è sempre sembrato uno che crede veramente nei bitcoin, non solo come investimento

sulll'imbrobabile sono d'accordo, che non vuol dire impossibile.

la penserei come te se non fosse che gabridome assicura che il suo tel non era stato rootato. un attacco mirato al .dat del 2FA a questo punto può essere stato effettuato:

a) da un cracker estremamente fortunato, che si è trovato nel posto giusto al momento giusto (improbabile anche questo, forse più del 2FA bruteforce)
b) da una persona a lui vicina (possibilissimo)

tutto questo ammesso e non concesso che semplicemente gabridome avesse salvato il codice padre del 2FA da qualche parte, e non se lo ricorda.

mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato.

Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator.

Attualmente ogni volta che faccio una voce nuova su Google authenticator prendo la secret, la crittografo con GPG e la metto su Evernote.

Ovvio che se nel processo ho una volta lasciato in giro la secret di Bitstamp il gioco é fatto ma ci sto attento ed é una delle ipotesi meno probabili...

Non é una cosa che dico volentieri ma mi sembra corretto farvi sapere tutto il possibile.

Il mio telefono era con me e io ero in montagna con mia moglie.
Data l'eventualità che abbiano potuto accedere a dei codici di Google authenticator mi sembra opportuno che li rifaccia tutti.  :-[

Quello che hanno sempre detto a tutti é che se non hai il telefono con accesso di root i dati relativi alle applicazioni te li scordi altrimetni potresti fare il backup di google authenticator che non penso sia possibile in un telefono non rootato.

Non posso proprio biasimarti. Non sai quanto ho pensato di aver fatto io quel prelievo e di essermene scordato. era da giorni che pensavo che ero un cretino a tenere i soldi su bitstamp e avevo intenzione di toglierli. Erano giorni un pò frenetici abbiamo avuto l'evento a Bologna e il giorno dopo sono partito per la montagna.

E' scoppiato il fattaccio di Mt.Gox e mi son detto:"adesso li togli di lì..." ci avevano già pensato (loro)  :'(

Nutro la segreta speranza ancora di aver fatto il prelievo io ma l'indirizzo non mi appartiene e la mail di conferma non c'é...

ma il 2fa di google non ti manda un codice sul telefonino(non smartphone)?

dovrebbe essere impossibile per chiunque entrare, anche avendo un malware nel pc...

questo potrebbe essere l'elemento debole...
ora non ho mai usato evernote... pero' credo sia + facile da accedere... non so neanche come funziona evernote... del tipo viene salvato online? quindi con user e psw che avevi su lastpass?
perchè in quel caso se hanno avuto accesso a lastpass ovviamente possono aver avuto accesso ad evernote e quindi al tuo 2fa... e quindi avere in mano tutte le carte utili per far quello che hanno fatto

certo ma non dimenticarti di gpg. una chiave RSA 2048 non é la più forte ma non é certo alla portata degli hacker (l'nsa in un annetto secondo me la può far fuori ma deve spenderci un bel pò di risorse).
Oggi ho rifatto tutti i codici di Google authenticator ma mi sa che non li metto su evernote...

ok criptata... ma con che chiave?
1 che stava sempre salvata da qualche parte? magari la stessa di qualcos'altro?

Qualcosa mi dice che hai un pò di confusione sulla crittografia a chiave asimmetrica.
Sì la chiave era memorizzata sul mac.
Sì lanchiave crittografava molte altre cose.
É così che gpg normalmente lavora. Certo uno può tenere le chiavi su smartcard o su chiavetta usb ma non conosco nessuno che lo faccia.
La chiave a sua volta é protetta da password (forse é a questa che ti riferivi).
No la password della chiave non é mai stata scritta da nessuna parte.
No la password della chiave non é mai stata utilizzata da nessuna parte.
La chiave password é più lunga di 13 caratteri (alla fine hai fatto incasinare anche me cacchio) ;D.

criptografia:
modificare una informazione sfruttando una formula matematica e una chiave

per decriptare il messaggio basta avere la chiave e conoscere la formula

la chiave può essere una password come può essere un file (che è semplicemente una password lunga e quindi difficile da memorizzare) ... il risultato non cambia... se si è in possesso della chiave puoi in ogni caso decriptare il contenuto del file...

quindi se avevano accesso al pc allora avevano accesso alla chiave per decriptare il file che quindi gli dava accesso al google auth, che quindi li ha potuti far loggare facilmente
sostanzialmente è come avere il post-it sul monitor con la psw per accedere a qualcosa...
o la cassaforte a casa con la chiave affianco...

Ricapitolando, possono avere avuto accesso al tuo pc > da qui aver preso i dati per loggarsi a bitstamp e evernote ecc. . aver preso la chiave privata gpg  dal pc, accedere a evernote prendere il file auth. e avere a questo punto tutto l'occorrente . Giusto?
Un bel sticazzi ci sta!!!
Non dovrei dirlo, ma le mie protezioni, sono diverse... ma si possono definire similare alle tue.

E' offtopic ma giusto perché l'argomento mi piace:
esistono due tipi principali di crittografia: a chiave simmetrica e a chiave asimmetrica.

GPG (http://www.gnupg.org/) derivato open source di PGP usa l'algoritmo a chiave asimmetrica.
GPG o PGP rimane dalla sua nascita uno dei pochi programmi a cui l'utente può fare riferimento per proteggere i propri dati personali. Usato tra l'altro da Snowden e sembra essere uno dei pochi sistemi non direttamente intaccato dalle mire dell'NSA.
La chiave é normalmente lunga 1024, 2048 o 4096 bits.
La chiave é normalmente crittografata con una password impostata dall'utente in modo che il trafugarla non vuol dire direttamente utilizzarla.
Sono d'accordo con te che se qualcuno aveva accesso al mio mac E avevo un keylogger, qualcuno avrebbe potuto avere accesso ai miei appunti su Evernote SE avesse avuto username e password per accedervi.

In definitiva le informazioni che immagazziniamo sui dispositivi da quando i bitcoin hanno un valore rilevante, hanno acquisito un valore molto diverso da prima.
In passato mi sono interessato di crittografia ma ora l'interesse é diventato un'esigenza e la conoscenza non basta più. Occorre molta attenzione e disciplina (almeno da parte mia).

Penso che un device staccato dalla rete sia l'unico modo per combattere questi nuovi pericoli. Già da tempo i famosi "dispositivi di firma" facevano tutto al loro interno senza esporre mai le chiavi all'esterno. La stessa cosa dovranno fare i dispositivi con cui vorremo nascondere le nostre informazioni.

E' paradossale come non esista niente in proposito. Penso che i Rasberry PI sono siano (il congiuntivo!!!!  >:() un bello spunto per futuri sviluppi in tal senso.

http://coldpi.com/

http://www.pi-wallet.com/

beh non serve necessariamente avere 1 dispositivo staccato... ma avere 2 dispositivi separati già rende la cosa impossibile (almeno che non si ha l'accesso su entrambi)

appurato che DEVONO aver avuto accesso al tuo pc per far quello che hanno fatto.. se tu non avessi avuto i dati dell'auth sul pc sarebbe stato impossibile ...
nel momento in cui su un dispositivo hai tutti i dati necessari per accedere... beh a quel punto dividere le cose è abbastanza inutile ^_^ (viene meno l'utilità della separazione)

detto questo esistono componenti hardware per criptare le cose...tipo so che esiste una chiavetta che se si sbaglia il codice come sistema di protezione ha l'autodistruzione hardware della memoria (la brucia), ma son cose che son utilizzate professionalmente... e cmq tutto ha senso solo in determinate situazioni... perchè se cmq blocchi una strada ma ne lasci un'altra aperta allora non cambia molto ^^

(credo che la cosa di cui parlavo è questa, ma non ci metto la mano sul fuoco dato che era un discorso uscito all'uni e ho una piccolissima memoria di questo, sia questa http://store1.imation.com/store/imation/list/categoryID.59867300 ... )

e cmq non capisco come faccia a funzionare il pi-wallet....
cioè è offline... quindi come fa a scaricare la blockchain e a fare transazioni ?

è una cosa da matti... Le mie protezioni sono al tuo livello.. devo subito agire per migliorarle ancora! (e io che mi credevo al sicuro..)

Firmi la transazione offline e poi fai il broadcast attraverso un pc connesso alla rete

Sinceramente davo per appurato l'accesso al mio telefono più che al mac in quanto lì avevo:

• Google authenticator
• Il browser di lastpass (da cui posso essermi collegato con Bitstamp anche a ridosso dell'hacking. mentre dal mac non mi collegavo dalla sera prima)
• Il client gmail sempre collegato con la mia posta
• Evernote (se mai fosse stato necessario)

Anche il mac ha un fracco di informazioni sensibili (stasera tocca a lui la formattazione) ma non il client gmail e non Google authenticator.

Sicuramente avere due dispositivi separati é inutile se uno di questi dispone di tutte le informazioni necessarie. Non so cosa dire in verità... Siamo solo nel campo delle ipotesi.

Sono d'accordo. La blockchain non é necessaria per electrum offline ma sapevo che Armory ha bisogno di bitcoind....

"We've pre-installed Bitcoin Armory on the Cold Pi along with bitaddress.org's source code. This will allow you to manage your coins, create paper-wallets and more.."

Nessuno ha esperienza in proposito?

il problema è che i "virus" per il telefono sono tutti inutili...
non possono fare nulla se non toccare foto e cose del genere... ma sicuramente non possono accedere al codice dell'authenticator quindi supporre il telefonino come punto debole la vedo abbastanza remota come possibilità ....
anche con un telefono rootato per accedere alle cartelle del sistema bisogna dargli l'ok a mano e un programma non riuscirebbe in ogni caso ad accedere alla cartella senza prima chiederti il consenso
ad es io ho fatto un programma che salva i messaggi di whatsapp e me li manda via mail... beh per far questo devo usare il BACKUP di whatsapp .. non posso in alcun modo accedere ai dati diretti di whatsapp (e leggere da li...) ma appunto devo aspettare il backup che viene creato in uno spazio accessibile pubblicamente (con un banale permesso di lettura/scrittura su memoria) e agire su quello....
se anche il telefono fosse rootato avrei dovuto dare al telefono il permesso di root e solo allora avrei potuto controllare il database di whatsapp per leggere i messaggi "freschi"..

Grazie. non sapevo che se il telefono non é rootato non puoi accedere ai dati di nessuna applicazione.

So però da Marco Barulli che é banale invece accedere alla clipboard.

Ad essere sinceri quando faccio login sul telefono con google authenticator ingenuamente copio spesso i codici nella clipboard e li incollo.
Mi viene in mente che sicuramente questo é possibile: se avevo un trojan che monitorava la clipboard in tempo reale i codici li ha rubati.

Rimane la password di bitstamp e di gmail.

Grazie alla vostra tenacia altre cose mi vengono in mente.
La più importante é che settimane fa sono stato vittima anch'io del famigerato "StealthBit".
Un app "open source" su github che permetteva di testare gli "Stealth Address" (un possibile futuro per la privacy nell'utilizzo dei pagamenti).
Nella realtà accanto ai sorgenti (probabilmente innocui) lo sviluppatore (poi sparito) metteva a disposizione la "la comoda" versione binaria che io ho prontamente installato (proprio su questo mac dal quale vi scrivo).

Come potete leggere in inglese qui sotto l'applicazione fa quello che deve fare ma ha anche una componente che installa estensioni per i browser che trasmettono le vostre credenziali di login ed era stato disegnato (sembra) particolarmente per BTC-E e Mt.Gox (a questo punto direi che probabilmente con Bitstamp non se la cavava maluccio).

La ragione per cui me ne ero quasi scordato é che la notizia era uscita quasi subito come la cura da applicare (http://www.securemac.com/Remove-CoinThief-Trojan-Horse-Instructions.php) ma é evidente che questo é stato l'errore più grosso che ho commesso e la cura é stata insufficiente (o tardiva).

Grazie a Trigun ho ripensato al MAC.

La cosa che rimane inspiegabile é che sono partito da casa alle 14:00 e l'attacco é avvenuto verso le 21:00 (bitstamp é indietro di un'ora rispetto all'Italia) Quindi se anche lo username e la password ce l'avevano da cosa cazzo hanno intercettato il codice di sei cifre???


Riporto sotto l'interssante articolo che avrei dovuto leggere molto meglio.
Tratto da: http://www.securemac.com/CoinThief-BitCoin-Trojan-Horse-MacOSX.php
SecureMac has discovered a new Trojan Horse called OSX/CoinThief.A, which targets Mac OS X and spies on web traffic to steal Bitcoins. This malware has been found in the wild, and there are multiple user reports of stolen Bitcoins. The malware, which comes disguised as an app to send and receive payments on Bitcoin Stealth Addresses, instead covertly monitors all web browsing traffic in order to steal login credentials for Bitcoin wallets.

Initial infection occurs when a user installs and runs an app called "StealthBit," which was recently available for download on GitHub, a website that acts as a repository for open source code. The source code to StealthBit was originally posted on GitHub, along with a precompiled copy of the app for download. The precompiled version of StealthBit did not match a copy generated from the source code, as it contained a malicious payload. Users who downloaded and ran the precompiled version of StealthBit instead ended up with infected systems. A user posting over the weekend on Reddit, the popular discussion site, reported losing 20 Bitcoins (currently worth upwards of $12,000 USD) to the thieves.

Disguised as an app to send and receive payments on Bitcoin Stealth Addresses, OSX/CoinThief.A instead acts as a dropper and installs browser extensions that monitor all web browsing traffic, looking specifically for login credentials for many popular Bitcoin websites, including MtGox and BTC-e, as well as Bitcoin wallet sites like blockchain.info. When login credentials are identified, such as when a user logs in to check their Bitcoin wallet balance, another component of the malware then sends the information back to a remote server run by the malware authors.

Upon running the program for the first time, the malware installs browser extensions for Safari and the Google Chrome web browser, without alerting the user. The web browsers are tricked into thinking that the user intentionally installed the extensions, and give no warning to the user that all of their web browsing traffic is now being monitored by the malicious extensions. Additionally, the malware installs a program that continually runs in the background, looking for Bitcoin wallet login credentials, which are then sent back to a remote server. OSX/CoinThief.A can both send information to as well as receive commands from a remote server, including a functionality to update itself to newer versions from the malware author.

Information sent back to the server isn't limited to Bitcoin login credentials, but also includes the username and UUID (unique identifier) for the infected Mac, as well as the presence of a variety of Bitcoin-related apps on the system.

Some steps were taken by the malware author to disguise the inner workings of OSX/CoinThief.A from casual analysis. The browser extensions were given the generic name of "Pop-Up Blocker" and show a similarly generic description of "Blocks pop-up windows and other annoyances." The malware additionally checks to see if various security programs or code development tools are present on an infected system, which is sometimes done in an attempt to block security researchers from analyzing a piece of malware.

Quante volte, figliolo?  ::)
http://st.ilfattoquotidiano.it/wp-content/uploads/2012/10/amorth_er.jpg?adf349

Guardate un pò anche dopo "la cura" cosa mi compare ogni volta che apro Safari:

https://i.imgur.com/jret54X.jpg (http://imgur.com/jret54X)

E' evidente che "il malaware" non funziona più al suo meglio ma il messaggio segnala che era quantomeno presente. Mi sa che formatto il disco e reinstallo l'OS.

Se avete suggerimenti per altre analisi su questo MAc fatemelo sapere in fretta non posso più vedere questo OS.... :(

Ti hanno spremuto come un limone  ;)

Sì, sembra evidente anche a me che è stato il cellulare a venir compromesso.
Converrebbe davvero usare una yubikey per LastPass, quasi quasi provvedo anch'io.
E... la password dell'email dev'essere custodita molto più gelosamente, ovvero non deve essere salvata "da nessuna parte"™.

Ma usare un software tipo TrueCrypt per mettere al sicuro quantomeno la password?
Un'altro punto debole è l'email, secondo me. Anche l'email aveva una password decentemente potente?

Grazie. rincuorante e prezioso... Quasi quasi mi ci metto anch'io... ;D :'( ;D :'( (non so se si é capito ma non so se piangere o ridere).

Fai un backup del disco intanto, poi se qualcun* ha suggerimenti (ma ormai non vedo cosa si possa fare) puoi lavorare su quello.
Non volevo essere scortese, eh?  ;)

Se é vero che é necessario l'accesso Root per avere accesso ai file di Google Authenticator questo non può essere avvenuto.

Io HO la yubikey per Lastpass e ANCHE Google Authenticator. Sul telefono non potendo usare la yubikey ti fanno usare Google authenticator se l'hai abilitato. Io sono in questa situazione: uso yubikey sui Mac e Google authenticator sul telefono per lastpass. Questo da mesi. In teoria non sono vulnerabile ai keylogger per lastpass ma se un programma riesce a intercettare il passaggio di credenziali su MAC (bitstealth?) allora quelle sono compromesse.

Le credenziali di gmail NON le ho scritte da nessuna parte ma l'app su telefonino te le memorizza. gmail dell'azienda é l'unica cosa che non avevo sotto 2FA.

Lo sei stato! ma mi hai fatto anche molto ridere  ;D

Non sono riuscito a frenare la mia avversione per Apple  :D

winsdoz?

Vade retro! :o

Ah ok. Ho usato e uso ancora spesso l'unico sistema operativo che abbia senso ma per la famiglia e l'ufficio non riesco... Mi diverto con un server con digital ocean su cui ho un full node e un server electrum giusto per tenermi in allenamento...

@gabridome
Per curiosità: hai un Firewall sul Mac incirminato (tipo LittleSnitch)?

Scusami non ho seguito tutto quanto, comunque leggendo in giro informazioni su Cointhief vedo che ce ne sono almeno 5 versioni, di cui pare che 4 siano già riconosciute da XProtect. Vorrei sapere che versione del software avevi (Mavericks? 10.9.2?) e se sei riuscito a riconoscere il processo in Activity Monitor e se si, che nome aveva: a quanto pare dovrebbe essere com.google.qualcosa, ma siccome non sei l'unico utente mac, sapere che può essere riconosciuto con un altro nome fa comodo a tutti. Grazie.

In effetti anche la tua domanda è interessante...

Il nome del processo è com.google.softwareUpdateAgent

Assurdo, la migliore soluzione quindi sarebbe l'utilizzo di un portafoglio OFFLINE come bitcoin-qt a questo punto.
Ormai non ci si può fidare di nessun wallet online, almeno come deposito.
Mi dispiace molto per te, veramente, posso solo immaginare come ti senti.

Cavolata.
I wallet web e i wallet offline hanno diversi pro e contro, e ci sono vettori di attacco contro ciascuno.
Sono solo diversi.

In questo caso gli hanno rubato da un wallet online e tutti a dire "gnè gnè wallet online cacca pupù", se gli rubavano da un wallet offline sarebbe accatuta la stessa cosa.
(poi vabbe', in realtà non stiamo neanche parlando di un wallet, bensì di un exchange, dunque il discorso fatto è ancora più sbagliato...)

Appunto per questo secondo me il wallet offline è più sicuro di quello online, in quanto in quello offline, non è secessaria l'email o l'autenticazione a 2 fattori, in quanto nessuno può accedervi se non dal pc stesso in cui è installato il wallet.
E se uno ha un buon antivirus e non si mette ad installare l'ira di dio che circola sul web, sicuramente non correrà pericoli.

Pensare che basti questo a proteggerti è assai pericoloso: stai creando una grossa illusione.

E allora sarebbe un'illusione assai più grossa pensare che esista un vero portafoglio elettronico sicuro al 100% in quanto sono tutti a richio di truffa o hackeraggio.
A questo punto una persona non può mai dormire a cuscino morbido con i propri bitcoin.

Basta metterli su un pc offline

Infatti, quindi la soluzione esiste,che sarebbe la stessa di cui sto parlando nel mio thread di acquisto.

vabbè,se vogliamo fantasticare si può pensare che da un momento all'altro venga trovato il modo di bucare l'algoritmo sha-256.


hai voglia di tenere il wallet off-line, loro si calcolano direttamente la chiave privata e aspirano tutti i bitcoin e conti correnti esistenti nel mondo. ;D

A mio modesto parere (e ormai sapete quanto poco conta) ci sono alcuni modi di custodire i propri bitcoin relativamente sicuri:

• Paper wallets: sono in un formato obsoleto e quindi paradossalmente a prova di obsolescenza e a prova di cancellazione (smagnetizzazione).
• Brain wallets: resistono a tutti gli attacchi diretti su oggetti fisici ma molto vulnerabili ad attacchi logici e di "brute force" con dizionari
• offline wallets se il computer in questione non si collega mai a reti.
• Hardware wallets assimilabili ad un offline wallet ma su devices disegnati allo scopo e quindi con maggiori sicurezze eun minore perimetro di attacco

Come tutti i metodi relativamente sicuri, questi metodi sono anche relativamente scomodi.
La conoscenza di questi metodi non salva comunque (come narra questo thread) dal pericolo di furto o di perdita. Ognuno ha i suoi pericoli e comunque é molto difficile riuscire a evitare di tenere i bitcoin per periodi di tempo sugli exchanges oppure sui wallet online. I primi sono indispensabili fino a quando non esisterà un'economia Bitcoin. I secondi sono indispensabili a chi viaggia e non é sicuro di avere sempre a disposizione i suoi devices o é preoccupato di perderli o farseli rubare.

E' inevitabile trovare dei compromessi: come il grosso dei nostri soldi li teniamo in banca e il necessario lo teniamo in contanti nel portafoglio, così il grosso dei bitcoin dobbiamo tenerlo su carta o nel cervello e il necessario in un online wallet sempre a disposizione ovunque voi siate.

Esistono ad oggi due interessanti compromessi: l'hardware wallet e mycelium.
l'hardware wallet permette transazioni abbastanza comode pur tenendo la chiave privata su un device dedicato privo di pericolosi contatti con l'esterno.
Mycelium ha aggiunto una funzionalità recentemente che permette di spendere parzialmente una chiave privata che viene scannerizzata ad ogni spesa. In questo modo se vi fregano il cellulare non hanno niente. Due limitazioni:

• qualsiasi transazione implica la rivelazione della chiave pubblica del paperwallet rendendolo così leggermente meno sicuro (soggetto agli attacchi quantistici per esempio).
• dovete avere il paperwallet con voi per cui é come girare con una grossa banconota.

In informatica di sicurezza si parla sempre in termini relativi ma se dovessi fare una classifica di sicurezza a prescindere dalla comodità:

• Wallet con chiave condivisa tramite Shamir Shared Secret o indirizzi multisignature (generati coi dadi)
• Paperwallet BIP38 (generati coi dadi)
• Paper wallet (generati coi dadi)
• Hardware wallet
• Brain wallet
• Wallet su PC (ovviamente crittografati molto bene)
• Wallet online
• Exchanges

Se il cellulare ha malware che sniffa tutti i qr scannerizzati è altamente insicuro utilizzare questo mezzo, imho

i virus per il telefono non sono come per il pc...
per fare una cosa del genere servirebbe che il programma che legge i qr sia un malware che legge li manda dove li deve mandare e a qualcun'altro
altrimenti non credo sia possibile...

basta mettersi il wallet in una chiavetta(o 2-3 chiavette per sicurezza) , staccando prima la linea

nessun hacker potrai mai rubarti niente in questo modo, è il metodo più sicuro è sbrigativo

il paper wallet a me non piace, e per chi pensa che le chiavette non funzionino più dopo 2-3 anni, gli voglio dire che ne prenderò una ogni anno oltre a dirgli che è una cazzata, visto che ho 2 hdd esterni che son quei perfettamente funzionanti anche dopo 6 anni...

mi sono letto tutto il thread, e pure quello inglese, ma non sono ancora riuscito a capire il flusso: è acclarato il fatto che il pc di gabridome fosse infetto. Epperò come ha fatto l'hacker ad autenticarsi su Bitstamp tramite il 2FA, il cui servizio viene erogato dal telefono?

Bravo. Anche intercettando un login sarebbe necessario rifare lo stesso login (sempre che te lo permettano) nel giro di un minuto. L'accesso incriminato lo hanno fatto a più di sei ore da quando avevo usato il mac. E nella storia di bitstamp non ci sono altri accessi in quella data.
É vero però che le sessioni di bitstamp si possono tenere su un bel pò: non so quanto e a quali condizioni ma mi é capitato di avere bitstamp aperto tutto il giorno e che non mi chiedesse la password.

Mi pare impossibile una cosa del genere, a questo punto mi viene da pensare che siano stati gli amministratori stessi di bitstamp e organizzare la frode.
E' assurdo ma è l'unico modo mi pare, visto che le misure di sicezza adottate dall'utente erano molte.

Il problema secondo me, non e' tanto custodire i BTC in modo sicuro, ma il fatto che prima o poi si debba interagire con la rete se li vogliamo usare/convertire ecc.ecc.

Questo e' a mio modesto giudizio, l'anello veramente debole della catena

E sono convinto che la' fuori, i malandrini hanno oramai fiutato la vittima e si stiano organizzando :

I piu' capaci magari pilotati da organizzazioni di malaffare, tenteranno colpi relativamente difficili ma grossi, ma il grave è che sicuramente scriveranno codice specializzato orientato al furto di btc da computer o palmari : pochi soldi singolarmente , ma relativamente sicuri e spalmati su tante persone

Comunque gabridome , + lo leggo e + il tuo caso e' parecchio sospetto :
o qualcuno ti ha preso di mira appositamente e sei stata la cavia di un'esperimento ben congegnato, oppure hanno collimato troppe cose che non avrebbero dovuto , il che non mi convince  ???

Lavori o frequenti o parli con persone capaci in termini informatici, ma che ritieni al di sopra di ogni sospetto ?  ::)

J

Ciao gabridome,
ho letto adesso il tuo post iniziale.
Prima di tutto, mi spiace molto per quanto accaduto! Grazie per aver condiviso questa tua "triste" esperienza, servirà sicuramente a molti, in modo che non capiti più in futuro.

Passo velocemente all'analisi dell'attacco.
Premessa n.1: Per mancanza mia di tempo, non ho letto tutto il thread. Spero di non aver saltato tue ulteriori importanti informazioni sull'accaduto.
Premessa n.2: Non ho mai usato Bitstamp.

CASO #1: Attacco interno da parte di Bitstamp.
Percentuale di successo 5% (massimo).
In effetti, questa ipotesi non si può mai escludere, ne ho viste tante di situazioni del genere.
Gli ho dato una piccola percentuale per ricordarsi che tutto può sempre accadere, ma sinceramente non credo sia questo il tuo caso.

CASO #2: Attacco sullo smartphone.
Percentuale di successo 1% (e sono stato generoso).
Si, in teoria ed in pratica è possibile fare un attacco via smartphone, ma le variabili in gioco sono molte, troppe !!!
Non sto a "perdere" tempo nella spiegazione, anche qui non credo sia il tuo caso.

CASO #3: Attacco sulla macchina.
Percentuale di successo 94%.
Tenendo sempre a mente la premessa n.1 e n.2 (vedi sopra), dal log che hai pubblicato nel primo post, mi sa tanto che avevi un virus all'interno della macchina.
Dal tipo di attacco, il virus è riuscito a prelevare dal tuo computer i dati di sessione di Bitstamp.
Le domande che ti devi fare sono principalmente due:
1) Cosa hai installato sulla macchina prima di subire l'attacco ?
2) Quando ti connettevi a Bitstamp cliccavi sul pulsante "Esci" (oppure "Logout", "Chiudi", ecc...) ?
Ti è stata presa la sessione attiva che avevi sulla macchina, è stata usata quella per accedere la prima volta su Bitstamp e poi hanno cambiato la password in modo da avere libero accesso.
Vorrei farti notare che non mi interessa se hai una password di 1.245 caratteri con simboli speciali e 45 controlli 2FA....  ;)  una volta che ti sei autenticato a sistema e ti attivo la sessione, sei dentro... punto e basta.

Questo tipo di attacco è interessante per due fattori:
1) Chi attacca la macchina della "vittima" deve controllare che l'utente rimanga attivo in sessione. L'attacco quindi non può essere portato dopo alcuni giorni, ma deve essere effettuato nel giro di alcune ore. Non so quanto sia persistente la sessione di Bitstamp.
2) Bitstamp NON controlla in sessione l'IP dell'utente! Si vede che alcuni utenti che hanno l'IP che cambia nel corso di sessione si sono lamentati e Bitstamp si è quindi adeguato.

Spero di esser stato di qualche aiuto,
saluti,
Tommaso

Io non sono + aggiornato da tempo sull'argomento sicurezza, ma quindi secondo te sono successe 2 cose :

- Gabridome ha chiuso il browser ed e' quindi uscito senza terminare la sessione che e' rimasta aperta

- La sessione e' rimasta su per 6 ore e l'hacker ha utilizzato il furto della sessione attiva per rientrare

Ma perche' il .log riporta che si e' loggato ?

* 2014-02-22 19:56:08   109.163.234.9   Logged in using two-factor authentication

In teoria non si e' mai disconnesso

Certo che anche Bitstamp, con tutti i problemi che ci sono , non e' che permettere sessioni cosi' lunghe
sia una manna per la sicurezza

Eurograbber pur con i dovuti distinguo , risale a + di un anno fa , qualcosa sul modus operandi avrebbe dovuto insegnare

Comunque sul PC incriminato, il trojan ci dovrebbe pur essere, o l'hanno programmato per potersi autoeliminare o addirittura l'hanno eliminato da remoto x coprire le tracce ?

Sarebbe interessante cercarlo prima di formattare tutto

J

Ciao,
in teoria hai ragione, in pratica quella scritta significa tutto e niente.
Detta in breve: quando io passo i giusti header al browser e ci allego la sessione che non è scaduta, il sistema scrive sul db quello che vuole, ma io intanto sono dentro al sistema.
Quella scritta sopra riportata sembra il "classico" log di una tabella del DB adibita proprio alla registrazione dei passaggi che vengono fatti, ma non è un controllo vero e proprio.
saluti,
Tom

Sono ormai un antidiluviano .........  ;D

Grazie

J

Correggetemi se sbaglio..

Con qualche accorgimento gli exchanger possono essere RELATIVAMENTE sicuri, tipo:

1) Non tenere grosse somme di denaro online
2) Crearsi un account gmail, che collegheremo poi al conto dell'exchanger, a cui si accederà SOLO da pc "sicuri" o di familiari ecc  con la doppia autenticazione via sms ad UN VECCHIO CELL DIVERSO DA QUELLO A CUI COLLEGHEREMO GOOGLE AUT X ENTRARE NELL' EXCHANGER.
3) Pass exchanger TOSTA
4) Impostare google authenticator collegato al nostro cell di uso quotidiano
5) Non collegare i cellulari ai pc che usiamo normalmente per smanettare su internet
6) Cambiare la pass 1 o 2 volte al mese
7) Impostare un limite al prelievo giornaliero come su TRT e controllare le transazioni quotidianamente.

In questo modo:
1) se ci bucano il pc e scoprono in qualche modo la pass c'è sempre google auth
2) è improbabile che ci bucano i cellulari visto che non sono riconducibili al pc e nemmeno alla mail dell'account exchanger
3) se per caso bucano cell e pc o in altro modo riescono ad avere pass e codice padre di google aut e riescono ad entrare possono prelevare solo quanto stabilito nel punto 7 e con il controllo giornaliero possiamo chiedere di bloccare tutto perdendo così solo una parte dei nostri btc.

Suggerirei http://www.bitcointrezor.com/ per il futuro

PRE-ORDERS closed  :-[

Lo aspetto da sei mesi (o otto ho perso il conto) e comunque da un exchanger si passa e lì non serve a una cippa. :'(

Siete gli unici con cui parlo in questo dettaglio. Per il resto parlo a "utonti" che del bitcoin mi dicono solo "mbeh?". Poi ci sono i curiosi e gli intelligenti ma sempre abbastanza ignoranti dal punto di vista informatico.
Vedo poco probabile un social hacking se non da internet (in quanto a privacy sono abbastanza un gruviera)...

Grazie per la solidarietà.
Sono esperto di informatica ma la sicurezza ho cominciato a considerarla coi bitcoin.

Ciò che scrivi ha senso per me.
Come ho scritto ho avuto il mio primo malaware un mese fa cointhief preso con bitstealth. Avevo cancellato l'infezione seguendo le istruzioni ma avrei dovuto formattare il disco rigido e reinstallare mac (cosa che ho fatto ieri l'altro ( a buoi scappati).
Posto appena riesco la parte di "hystory" di Bitstamp precedente al furto in modo che possiamo discutere se e come hanno potuto tenere in piedi la sessione "rubata". Sinceramente non ricordo l'accesso più recente pre furto.

2014-02-20 10:57:26   93.149.37.70   Logged in

Questo é l'ultimo login prima del prelievo.
C'é una cosa che però non mi spiego:
Come vedete nella "storia" non c'é menzione della doppia autenticazione (mentre il giorno del furto c'é scritto "logged in using two factor authentication).
Purtroppo ho l'ipad e non posso copiare più di una riga alla volta ma credetemi se vi dico che nella mia storia su bitstamp tutti i login appaiono senza la menzione della doppia autenticazione.

Potete confermarvi che due settimane fa anche voi avevate le voci di login senza la menzione?
É assurdo ma se ho passato mesi pensando di doppio autenticarmi ma la videata era finta ai ladri é stato sufficiente intercettare le credenziali!!!

Provo a chiedere a bitstamp e vi riferisco.

Ecco il mio ticket a bitstamp:
One important question:
In my "history" page I didn't notice that my previous login were mentioned as "logged in" and not "logged in using two factor authentication".

I HAVE ALWAYS USED TWO FACTOR AUTHENTICATION TO OPERATE IN BITSTAMP.

I beg your pardon for the caps but how would you explain this??

Allego per voi la foto della pagina dell'history:

https://i.imgur.com/OQFDGcV.jpg

Posso confermare che sin dall'inizio 17/12/2012 il mio account reca SOLO "logged in" nell'hystory.
Comincia a menzionare "logged in using two factor authentication" solo il giorno del furto!!!!  ???

In Inglese si dice WTF in italiano dico MACCHECCAZZO???

Giuro sui bitcoin che ho SEMPRE usato la 2FA su Bitstamp o meglio così mi hanno sempre fatto credere.

Qualcuno che usa bitstamp mi riesce a confermare che dal 22/2 hanno cominciato a riportare i logins in modo diverso o solo io sono stato ingannato dall'inizio????

Allego screenshot del mio debutto su bitstamp:


https://i.imgur.com/45CcRhw.jpg

Ragazzi,
Mi potete aiutare solo voi perché se é un inside job potrebbero usare il ticket che ho fatto per cancellare le tracce.

Chi di voi usa la 2FA su bitstamp: cosa legge nella sua history riguardo ai login??

Hai una lista delle email che hai ricevuto nelle ultime settimane da info@bitstamp.net? Potresti pubblicare gli oggetti delle email in questione?

In effetti una cosa strana l'ho riscontrata anch'io ma è all'opposto rispetto alla tua...
In pratica mi riporta alcuni log-in eseguiti con la 2FA ma risalenti a giorni prima che io abilitassi la 2FA  ???
Però dopo l'abilitazione mi dice sempre "Logged in using two-factor authentication" come è giusto che sia.
Probabilmentela la history di bitstamp non è affidabile sotto questo aspetto.

24 BitCoin sono una bella somma, qua gli amministratori del sito ne dovranno rispondere.
Hai contattato chi di dovere?

L'ultima mail é del 16/4 e riguarda un deposito. Le altre sono tutte da noreply. perché?

Personalmente reputo improbabile l'inside job e propendo sull'attacco di un hacker esterno, a fronte del fatto che hai scritto che avevi il pc infetto.
A seguito della tua richiesta, posto i log (solo quelli relativi alla security) del mio account. Ritengo il log congruente con la mia effettiva attività sull'account. La riga "02/24/14 08:05 PM Logged in" che è senza "using two-factor authentication" si spiega perchè effettivamente avevo temporaneamente disabilitato il 2FA.

A Bitstamp si può tuttavia addebitare il fatto che il log non è completo/preciso (mancano quantomeno la riga di disabilitazione del 2FA e anche quella della primissima abilitazione del 2FA)

03/11/14 06:07 AM Logged in using two-factor authentication
03/10/14 09:27 PM Logged in using two-factor authentication
03/09/14 08:17 AM Logged in using two-factor authentication
03/06/14 09:02 AM Logged in using two-factor authentication
03/05/14 08:37 AM Logged in using two-factor authentication
03/03/14 11:36 AM Logged in using two-factor authentication
03/03/14 09:37 AM Logged in using two-factor authentication
03/01/14 09:58 AM Logged in using two-factor authentication
02/28/14 06:07 PM Logged in using two-factor authentication
02/28/14 06:04 AM Logged in using two-factor authentication
02/27/14 08:49 PM Logged in using two-factor authentication
02/27/14 03:14 PM Logged in using two-factor authentication
02/27/14 11:23 AM Logged in using two-factor authentication
02/27/14 11:19 AM Logged in using two-factor authentication
02/27/14 12:13 AM Logged in using two-factor authentication
02/24/14 08:11 PM Logged in using two-factor authentication
02/24/14 08:10 PM Enabled two-factor authentication
02/24/14 08:05 PM Logged in
02/22/14 10:52 AM Logged in using two-factor authentication
02/22/14 07:58 AM Logged in using two-factor authentication
02/21/14 07:47 PM Logged in using two-factor authentication
02/11/14 07:10 PM Logged in
02/10/14 08:35 PM Logged in
01/19/14 10:09 AM Logged in
01/17/14 07:58 AM Logged in
01/12/14 09:31 PM Logged in
01/08/14 08:21 AM Logged in
01/08/14 12:26 AM Logged in
01/06/14 12:37 PM Logged in
01/04/14 05:58 AM Logged in
01/03/14 03:23 PM Logged in
01/03/14 09:39 AM Logged in
01/02/14 05:12 PM Logged in
01/02/14 12:12 PM Logged in
01/02/14 12:09 PM Logged in
01/02/14 09:20 AM Logged in
01/02/14 07:35 AM Logged in
01/02/14 07:25 AM Logged in
01/01/14 11:25 PM Logged in
01/01/14 10:56 PM Logged in
12/27/13 08:36 PM Logged in
12/27/13 08:15 PM Logged in
12/27/13 07:47 PM Logged in
12/27/13 07:30 PM Logged in
12/27/13 05:02 PM Logged in
12/27/13 10:49 AM Logged in
12/27/13 10:38 AM Logged in
12/25/13 01:43 PM Logged in
12/25/13 11:15 AM Logged in
12/24/13 09:56 PM Logged in
12/24/13 05:15 PM Logged in
12/24/13 03:26 PM Logged in
12/24/13 02:33 PM Logged in
12/24/13 11:45 AM Logged in
12/24/13 11:08 AM Logged in
12/23/13 09:30 PM Logged in
12/23/13 07:38 PM Logged in
12/21/13 06:30 PM Logged in
12/20/13 10:02 PM Logged in
12/19/13 08:42 PM Logged in
12/19/13 10:31 AM Logged in
12/18/13 09:36 PM Logged in
12/18/13 11:15 AM Logged in
12/18/13 07:33 AM Logged in
12/16/13 04:48 PM Logged in
12/15/13 08:40 PM Logged in
12/12/13 07:48 PM Logged in
12/11/13 01:11 PM Logged in
12/11/13 12:43 PM Logged in
12/10/13 09:10 AM Logged in
12/09/13 09:41 PM Logged in
12/09/13 03:55 PM Logged in
12/09/13 07:58 AM Logged in
12/08/13 09:10 PM Logged in
12/08/13 06:27 AM Logged in
12/07/13 07:50 AM Logged in
12/06/13 09:50 AM Logged in
12/05/13 08:34 AM Logged in
12/04/13 03:40 PM Logged in
12/04/13 02:25 PM Logged in
12/04/13 10:16 AM Logged in
12/03/13 11:06 AM Logged in
12/03/13 08:33 AM Logged in
12/02/13 11:41 AM Logged in
12/02/13 09:26 AM Logged in
12/02/13 07:12 AM Logged in
12/01/13 04:43 AM Logged in
11/30/13 01:42 PM Logged in
11/30/13 08:40 AM Logged in
11/29/13 10:18 PM Logged in
11/29/13 06:34 PM Logged in
11/29/13 02:55 PM Logged in
11/29/13 01:04 PM Logged in
11/29/13 08:13 AM Logged in
11/28/13 04:24 PM Logged in
11/28/13 03:28 PM Logged in
11/28/13 03:22 PM Logged in
11/28/13 01:59 PM Logged in
11/28/13 06:48 AM Logged in
11/27/13 07:56 PM Logged in
11/27/13 07:45 PM Logged in
11/27/13 02:41 PM Logged in
11/27/13 07:22 AM Logged in
11/27/13 12:28 AM Logged in
11/26/13 04:59 PM Logged in
11/26/13 12:40 PM Logged in
11/26/13 10:52 AM Logged in
11/26/13 10:51 AM Changed user password
11/26/13 10:51 AM Logged in
11/26/13 08:49 AM Logged in

Questa sera ti posto anche il mio. Ora non posso.

Perche' ultimamente stan girando email abbastanza realistiche di phishing bitstamp

gabridome non ho letto tutto...ma l'email di cui hanno preso possesso era quella di gmail collegata al cellulare?

Te lo chiedo perché se ne hanno cambiato la password il cellulare t'avrebbe avvisato subito che era impossibile sincronizzarsi con il server (e anche se hai tutti gli aggiornamenti disabilitati alcuni servizi google rimangono perennemente loggati).

Infatti, se era la mail di google il celi al cambio password, appena provava a sincronizzato avrebbe dovuto restituire un messaggio di errore.
Io continuo a credere che sia tutta colpa dell'exchange stesso.

La password cambiata é quella di bitstamp.
Gmail lo leggevo dappertutto ma la password non l'hanno cambiata però me la leggevano sicuramente.

Risposta di bitstamp sui cambiamenti nella " history":
Dear Gabriele,

The reason that note is missing is very straight forward and it's that we have just recently added this information to your account history. Previously this was not recorded.

Best regards,

Si tratterebbe quindi di una coincidenza. Non so cosa pensare.

Ho chiamato la polizia postale per chiedergli se avrei dovuto denunciare un furto di bitcoin:
"Mi lasci un numero da chiamare. Mi consulto con un superiore e poi la contatto".
Questo venerdì.

Ciao,
chiedo scusa se vado di fretta, ma in questi giorni sono pieno di impegni ed ho poco tempo.
Ok, ammettiamo che il DB "stats" di Bitstamp non è preciso e ci sono utenti che si trovano scritte non corrispondenti al 100%.
Questo in effetti sposta leggermente in alto la percentuale di un attacco interno, ma da solo non basta. Le tabelle "stats" sul DB vengono popolate con scritte che possono cambiare in qualsiasi momento.
Inoltre è più semplice per Bitstamp far "sparire" dei soldi ad utenti che non hanno attivo 2FA, chi attiva questa funzione un minimo di conoscenze tecniche le deve avere.
Detto questo, 24 bitcoin non sono pochi, Bitstamp ti deve dare massimo supporto.
saluti,
Tom

questa è il mio storico. prima del 20-2 non avevo il 2FA attivato

Data e ora   Indirizzo IP   Azione
2014-03-11 15:29:17      Logged in using two-factor authentication
2014-03-10 20:37:41   Opened limit sell order xxxxxxxxxxxxxxxxxxxx
2014-03-10 20:36:39      Logged in using two-factor authentication
2014-03-10 20:13:58      Opened instant buy order for xxxxxxxxxxx
2014-03-10 19:51:46      Logged in using two-factor authentication
2014-03-10 18:49:39      Opened limit buy order xxxxxxxxxxxxxxxxx
2014-03-10 18:36:10   Logged in using two-factor authentication
2014-03-08 09:25:35   Opened limit buy order xxxxxxxxxxxxxxxxxx
2014-03-08 09:23:46   Opened limit buy order xxxxxxxxxxxxxxxxx
2014-03-08 09:20:13      Logged in using two-factor authentication
2014-03-07 18:09:31      Opened limit buy order xxxxxxxxxxxxxxxxxxxxxx
2014-03-07 18:07:25      Logged in using two-factor authentication
2014-03-05 20:08:40      Opened limit buy order xxxxxxxxxxxxxx
2014-03-04 17:02:16      Logged in using two-factor authentication
2014-03-03 21:16:32      Logged in using two-factor authentication
2014-03-03 18:13:59      Opened limit buy order xxxxxxxxxxxx
2014-03-03 18:10:32      Logged in using two-factor authentication
2014-02-27 21:33:15      Logged in using two-factor authentication
2014-02-24 05:18:21      Logged in using two-factor authentication
2014-02-23 20:50:40      Opened limit sell order xxxxxxxxxx
2014-02-23 20:47:28      Logged in using two-factor authentication
2014-02-23 19:02:43      Logged in using two-factor authentication
2014-02-23 10:03:27      Opened limit buy order xxxxxxxxxxxx
2014-02-23 09:56:53      Opened instant sell order for xxxxxxxxxx
2014-02-23 09:30:30      Logged in using two-factor authentication
2014-02-22 21:58:24      Opened limit sell orderxxxxxxxxxxxxxxxx
2014-02-22 21:56:21      Logged in using two-factor authentication
2014-02-20 20:39:48      Logged in
2014-02-20 20:36:53      Changed user password
2014-02-20 20:32:38      Logged in
2014-02-20 10:31:56      Logged in
2014-02-20 10:30:37      Logged in
2014-02-20 08:47:04      Opened limit buy order xxxxxxxxxxxxxxxxxx
2014-02-20 08:33:56      Logged in
2014-02-16 19:52:34      Logged in

Ciò che mandate sembra supportare il fatto dichiarato da bitstamp che "logged in using two factor authentication" é una frase aggiunta da loro da pochi giorni anche se, incidentalmente sembra che tutti e due abbiate anche attivato da poco la 2FA quindi le due cose coincidono.

Siamo da capo. Gli unici fatti abbastanza assodati sono la presenza di cointhief sul mio mac e la mail di gmail (l'account che non avevo sotto 2FA) fosse controllata da altri.

Il giorno del furto avevo già applicato la cura a cointhief da un paio di settimane ma allo stato delle cose la pulizia potrebbe non essere stata sufficiente.

2014-02-23 09:56:53      Opened instant sell order
2014-02-23 09:30:30      Logged in using two-factor authentication
2014-02-22 21:58:24      Opened limit
2014-02-22 21:56:21      Logged in using two-factor authentication
2014-02-20 20:39:48      Logged in
2014-02-20 20:36:53      Changed user password
2014-02-20 20:32:38      Logged in
2014-02-20 10:31:56      Logged in
2014-02-20 10:30:37      Logged in
2014-02-20 08:47:04      Opened limit buy order
2014-02-20 08:33:56      Logged in
2014-02-16 19:52:34      Logged in
2014-02-16 19:38:39      Opened limit buy order
2014-02-16 19:35:09   Logged in
2014-02-16 13:46:09      Logged in
2014-02-13 20:14:56   Logged in
2014-02-12 16:53:58      Logged in
2014-02-11 20:19:03      Logged in
2014-02-11 15:07:40           Logged in
2014-02-09 12:53:52      Logged in
2014-02-09 12:50:46      Enabled two-factor authentication

 
Guarda controllando meglio... Io ho attivato 2FA il 9-2-2014 nei successivi login non compariva la dicitura "using two-factor authentication" per comparire a me il 22-2
a zauker la dicitura e comparsa il 21-2 quindi la frase è stata inserita il 21-2 perchè io il 21-2 non mi sono loggato. quindi fino a qui ci siamo.

Ciao Gabriele,
tutto regolare nella mia history su Bitstamp.
Mostra correttamente "Logged in using two-factor authentication" solo dal momento in cui ho effettivamente attivato 2FA.
Prima solo "Logged in".

Capito, spero per te che riuscirai nell'impresa di recuperare i bitcon.
Non voglio scoraggiarti, ma la vedo dura.

Sono ansioso di conoscere la risposta :)

edit:chiedo venia,ho sbagliato topic :)
  

Chissà perchè mi è subito venuta in mente questa scena...  ???
https://i.imgur.com/0dyHmRL.jpg

Domani si scoprirà se questa scena si trasforma in realtà o no.
Hanno detto che lo avrebbero richiamato Venerdì.
Vediamo.

Ci sono sviluppi? Ti hanno richiamato?
Intanto se vai su mtgox.com puoi leggerti i comunicati sul processo in corso nei confronti di MtGox.
Ci sono ottime notizie.
Posted from Bitcointa.lk - #4DJPC8pplhghJfNp

Mahhh... comunicati su carta bianca senza uno straccio di intestazione e timbro... bohhhh

Eh....in effetti....non hai tutti i torti...
Posted from Bitcointa.lk - #ZD2Fm15BK5kFugKb