Bitcoin Forum

Local => Português (Portuguese) => Topic started by: TryNinja on October 23, 2021, 06:46:38 PM



Title: PSA: CoinMarketCap hackeada
Post by: TryNinja on October 23, 2021, 06:46:38 PM
Recebi esse email do haveibeenpwned.com:

Quote
You've been pwned!
You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:

Email found:   XXXXX@XXXXX.com
Breach:   CoinMarketCap
Date of breach:   12 Oct 2021
Number of accounts:   3,117,548
Compromised data:   Email addresses
Description:   During October 2021, 3.1 million email addresses with accounts on the cryptocurrency market capitalisation website CoinMarketCap were discovered being traded on hacking forums. Whilst the email addresses were found to correlate with CoinMarketCap accounts, it's unclear precisely how they were obtained. CoinMarketCap has provided the following statement on the data: "CoinMarketCap has become aware that batches of data have shown up online purporting to be a list of user accounts. While the data lists we have seen are only email addresses (no passwords), we have found a correlation with our subscriber base. We have not found any evidence of a data leak from our own servers — we are actively investigating this issue and will update our subscribers as soon as we have any new information."

Se vocês tem conta lá, pode ser uma boa dar aquela trocada na senha (caso repita ela em todos os sites, oque você não deveria fazer) e tomar cuidado com os phishings. :(

Caso queira confirmar se você faz parte do vazamento, pode usar o próprio site que me alertou (haveibeenpwned) para pesquisar todos os vazamentos que contam com seu email.


Title: Re: PSA: CoinMarketCap hackeada
Post by: sabotag3x on October 23, 2021, 07:05:07 PM
Eu estava lendo a resposta deles: https://coinmarketcap.com/alexandria/article/good-security-habits

Segundo eles, não vazou nada e sim foi outro vazamento sendo vendido como se fosse do CMC.. também ouvi pessoas dizerem que tem cadastro no CMC e não aparecem no vazamento..


Enfim, já pensei muitas vezes em pegar os airdrops lá e nunca fiz justamente para evitar tais aborrecimentos.


Title: Re: PSA: CoinMarketCap hackeada
Post by: jpouza on October 23, 2021, 07:12:57 PM
Desde a fundação do site nunca abri conta lá  ;D


Title: Re: PSA: CoinMarketCap hackeada
Post by: TryNinja on October 23, 2021, 07:28:38 PM
Segundo eles, não vazou nada e sim foi outro vazamento sendo vendido como se fosse do CMC.. também ouvi pessoas dizerem que tem cadastro no CMC e não aparecem no vazamento..
Vou dizer que eles estão mentindo, pois vazou um email que eu uso em pouquissimos lugares, inclusive na CMC. :D


Title: Re: PSA: CoinMarketCap hackeada
Post by: Paredao on October 23, 2021, 08:11:20 PM



Enfim, já pensei muitas vezes em pegar os airdrops lá e nunca fiz justamente para evitar tais aborrecimentos.

Eu também. Nunca confiei muito nesses airdrops da coinmarketcap. Eles já distribuíram tanta porcaria lá que nem sei o que sobrou daquilo. Muita shitcoin que só dava lucro para quem fosse rápido no gatilho e trocasse o mais rápido possível. Tô fora.


Title: Re: PSA: CoinMarketCap hackeada
Post by: bitmover on October 23, 2021, 09:29:49 PM
Se vocês tem conta lá, pode ser uma boa dar aquela trocada na senha (caso repita ela em todos os sites, oque você não deveria fazer) e tomar cuidado com os phishings. :(
email.

A melhro coisa para evitar esse tipo de problema é usar um gerenciador de senhas.

Basta voce fazer uma senha forte, com 2FA, e o gerenciador gera todas as senhas super fortes pra voce, automaticamente. Eu uso o Lockwise  (https://www.mozilla.org/pt-BR/firefox/lockwise/)do proprio firefox. Acho ótimo.

Podem até existir melhores, mas estou bem satisfeito com ele.

Enfim, já pensei muitas vezes em pegar os airdrops lá e nunca fiz justamente para evitar tais aborrecimentos.

Faz um throw away email para esses lixos e pronto. Não acho que gere aborrecimentos... eu nem abro o email que cadastrei la kkk

Eu também. Nunca confiei muito nesses airdrops da coinmarketcap. Eles já distribuíram tanta porcaria lá que nem sei o que sobrou daquilo.

Olha, eu ja devo ter ganho bem uns 50 USD ou mais nos airdrops de lá. Nao é grande coisa, mas tb não é desprezível. Basicamente botei meu email, assisti uns videos e respondi umas perguntas dos videos.

Mas recenetemente os airdrops lá ficaram muito ruins, então nem faço mais. Como qualquer serviço, começa bom , conquistam clientes, e depois piora.


Title: Re: PSA: CoinMarketCap hackeada
Post by: alegotardo on October 24, 2021, 12:15:08 PM
Eu estava lendo a resposta deles: https://coinmarketcap.com/alexandria/article/good-security-habits

Segundo eles, não vazou nada e sim foi outro vazamento sendo vendido como se fosse do CMC.. também ouvi pessoas dizerem que tem cadastro no CMC e não aparecem no vazamento..


Enfim, já pensei muitas vezes em pegar os airdrops lá e nunca fiz justamente para evitar tais aborrecimentos.

Eu fiz conta no CMC Learn para ver aqueles videos, respondero  Quiz e ganhar aqueles bounties no final (caso acerte todas as questões).
Apesar de dizerem ser bons valores, nunca consegui nada tão expressivo, porém eu também usei no cadastro um email exclusivo para esses bountyes e coisas menores, bem como uma senha aleatória que gerei usando o Bitwarden (aconselho a usarem também).

Em todo caso, obrigado pelo aviso TryNinja, pois seja ou não um vazamento do CMC, é sempre bom estar ligado.


Title: Re: PSA: CoinMarketCap hackeada
Post by: TryNinja on October 24, 2021, 07:14:39 PM
bem como uma senha aleatória que gerei usando o Bitwarden (aconselho a usarem também).
Bitwarden é incrível, uso ele também e inclusive tenho a versão Premium (custa $12 por ano).

Outra dica legal é usar o truque do + nos emails para fazer o controle de quem está vendendo/vazando o seu email. Por exemplo, se o seu email for satoshi@gmail.com, você utiliza satoshi+cmc@gmail.com para o CMC, satoshi+binance@gmail.com para a Binance, etc... por que todos os emails acabam no seu principal e você consegue ver de onde eles estão vindo.


Title: Re: PSA: CoinMarketCap hackeada
Post by: joker_josue on October 25, 2021, 09:46:35 AM
Pelo o que parece foram apenas emails que tem lá conta. Ao que parece as passwords, não foram comprometidas.

Mas o mais recomendado é nunca usar a mesma password em vários sites.


Title: Re: PSA: CoinMarketCap hackeada
Post by: wallacegunner on October 25, 2021, 10:12:45 AM
bem como uma senha aleatória que gerei usando o Bitwarden (aconselho a usarem também).
Bitwarden é incrível, uso ele também e inclusive tenho a versão Premium (custa $12 por ano).

Outra dica legal é usar o truque do + nos emails para fazer o controle de quem está vendendo/vazando o seu email. Por exemplo, se o seu email for satoshi@gmail.com, você utiliza satoshi+cmc@gmail.com para o CMC, satoshi+binance@gmail.com para a Binance, etc... por que todos os emails acabam no seu principal e você consegue ver de onde eles estão vindo.

Mais uma dica para usar com o Bitwarden, depois que vc gerar a senha no Bitwarden, quando for usar no site/app vc coloca um "caractere" a mais que vc não vai esquecer com facilidade, assim, caso aconteça de vazar os dados da Bitwarden, vc acaba tendo mais um nível de segurança, as senhas serão diferentes e só vc sabe esse "caractere".

Essa dica do + nos e-mails é muito boa tbm.


Title: Re: PSA: CoinMarketCap hackeada
Post by: bitmover on October 25, 2021, 11:09:07 AM
Eu fiz conta no CMC Learn para ver aqueles videos, respondero  Quiz e ganhar aqueles bounties no final (caso acerte todas as questões).
Apesar de dizerem ser bons valores, nunca consegui nada tão expressivo

Pois é, como falei os valores pioraram muito recentemente com a popularização.
Outrac oisa que eu descobri tb é que se voce errar as questões, voce recebe bem menos ou então nem recebe nada.

Mas os últimos eu nem fiz, acho que deixou de ser interessante esse CMC Learn..


Title: Re: PSA: CoinMarketCap hackeada
Post by: sabotag3x on October 25, 2021, 11:15:55 AM
Pelo que vocês dizem piorou em valor, porém e a questão do aprendizado? As pessoas aprendem algo ou é ruim nisso também?


Title: Re: PSA: CoinMarketCap hackeada
Post by: bitmover on October 25, 2021, 11:24:09 AM
Pelo que vocês dizem piorou em valor, porém e a questão do aprendizado? As pessoas aprendem algo ou é ruim nisso também?

Eles explicam em 3 ou 4 videos de cerca de 2 minutos cada um como uma moeda (patrocinadora do airdrop) funciona.
É bom para pessoas que não conhecem projetos de criptomoedas, da pra aprender alguma coisa.

Eu já assisti uns bacanas, tipo Band por exemplo. E alguns outros. Mas sinceramente, acho tudo meio parecido. Com uns papos de "burn supply", "staking/earn", etc... Mas a qualidade dos videos é boa.

Assiste lá alguns pra voce ter uma noção de como funciona. Não sei tem alguma campanha ainda pagando algo (normalmente é a mais de cima, mas dura poucos dias o tempo que fica aberto para voce assistir com pagamento).
https://coinmarketcap.com/earn/

Eu parei de fazer quando a unica forma de receber era baixando um software duma wallet. Eu não gosto desse tipo de coisa, dai parei de fazer. E ja nao pagava mais tao bem.


Title: Re: PSA: CoinMarketCap hackeada
Post by: Paredao on October 25, 2021, 08:04:55 PM
Pelo que vocês dizem piorou em valor, porém e a questão do aprendizado? As pessoas aprendem algo ou é ruim nisso também?

Aprendizado ? Será que dá para apreender algo somente vendo alguns minutos de um vídeo na internet de uma nova shitcoin que promete mil coisas e não entregará nada ? Você está parecendo eu que estou no mundo das criptomoedas apenas pela tecnologia. $$$$$$  :D :D


Title: Re: PSA: CoinMarketCap hackeada
Post by: joker_josue on October 26, 2021, 06:55:20 AM
Aprendizado ? Será que dá para apreender algo somente vendo alguns minutos de um vídeo na internet de uma nova shitcoin que promete mil coisas e não entregará nada ? Você está parecendo eu que estou no mundo das criptomoedas apenas pela tecnologia. $$$$$$  :D :D

Mas esse é o ponto.
Hoje em dia não basta ser só mais uma shitcoin. Se quer ser uma shitcoin com estilo, precisa de contar a melhor historia. Isto acaba por ser uma competição não pelo dinheiro, mas porque inventa os melhores argumentos, a melhor historia. E porque? Porque "investir" nessa shitcoin é o mesmo que dizer: "parabéns ao criador, que construiu aqui uma excelente historia" é tipo dar um merit.  ::)


Title: Re: PSA: CoinMarketCap hackeada
Post by: SonarGames on October 27, 2021, 05:22:29 PM
Neste momento o site está fora do ar.


Title: Re: PSA: CoinMarketCap hackeada
Post by: bitmover on October 27, 2021, 06:22:44 PM
Neste momento o site está fora do ar.

Não está nõa, está funcionando normalmente aqui.

Esse é um dos 100 sites mais acessados do planeta. Dificil essa parada ficar fora do ar. Deve ser algo na sua conexao.

https://twitter.com/cz_binance/status/1444173747276091395
Quote
CZ 🔶 Binance
@cz_binance
.
@CoinMarketCap
 is now a top 100 website in the world, as ranked by Alexa. Thank you for your support!


Title: Re: PSA: CoinMarketCap hackeada
Post by: SonarGames on October 27, 2021, 07:31:47 PM
Não está nõa, está funcionando normalmente aqui.

Estava dando erro 504 / 505
Agora tudo ok


Title: Re: PSA: CoinMarketCap hackeada
Post by: l3pox on October 28, 2021, 08:16:42 PM
um site legal pra verificar se outros sites estão realmente fora do ar ou não é o
https://downforeveryoneorjustme.com/

de vez em quando fico com a dúvida se é uma questão local ou se é pra todo mundo aí verifico nele.


Title: Re: PSA: CoinMarketCap hackeada
Post by: alegotardo on October 30, 2021, 01:35:54 AM
um site legal pra verificar se outros sites estão realmente fora do ar ou não é o
https://downforeveryoneorjustme.com/

de vez em quando fico com a dúvida se é uma questão local ou se é pra todo mundo aí verifico nele.

Além desse tem também o DownDetector, muito útil não só para sites mas também aplicativos em geral.
Agora a pouco meu filho estava bravo porque o Roblox não abria e que ia reiniciar o tablet, então eu completei a tristeza dele dizendo que hoje não teria joguinho mesmo :D coitado!

Voltado ao on-topic, o CMC foi uma das maiores aquisições da Binance, muita grana investida nisso.. Qualquer problema do tipo instabilidade ou hack é algo para se desconfiar.


Title: Re: PSA: CoinMarketCap hackeada
Post by: lcharles123 on October 30, 2021, 04:47:27 PM
Segundo eles, não vazou nada e sim foi outro vazamento sendo vendido como se fosse do CMC.. também ouvi pessoas dizerem que tem cadastro no CMC e não aparecem no vazamento..
Vou dizer que eles estão mentindo, pois vazou um email que eu uso em pouquissimos lugares, inclusive na CMC. :D

O meu email também está lá, de acordo com o https://monitor.firefox.com/
Sendo que outros emails que uso pra spam não aparecem, provavelmente o CMC foi hakceado mesmo.

Eu aconselho a todos a usar emails diferentes dependendo do serviço. O hotmail/outlook permite criar vários aliases completos, diferente do alias do gmail onde é composto pelo email base.
E usar geradores de senhas, firefox(assim como chrome) oferece um no formulário de cadastro em sites, bem mais seguro que senhas criadas por humanos pois podem se limitar a alguma coisa previsível como uma palavra+número.
Exportar uma cópia das senhas para um papel, por exemplo, e mantê-lo seguro e usar os serviços de sincronia do navegador para facilitar o seu uso. Você ficará dependente do serviço de senhas, mas imagino que algo tão crítico como isso deve estar seguro com o estado da arte em segurança de dados.


Title: Re: PSA: CoinMarketCap hackeada
Post by: alegotardo on October 31, 2021, 11:58:37 PM
Eu aconselho a todos a usar emails diferentes dependendo do serviço. O hotmail/outlook permite criar vários aliases completos, diferente do alias do gmail onde é composto pelo email base.

Algo melhor ainda é oque oferece a Apple, por exemplo com o seu serviço de Relay de Email, onde eles criam um email totalmente aleatório que simplesmente recebe as mensagens e redireciona para o seu email verdadeiro, assim só eles sabem qual é seu verdadeiro email.

Existem diversas outras empresas que oferecem o mesmo serviço, inclusive alguns gratuitos, o problema é confiar nesse intermediário para receber e te encaminhar todos esses emails... será que é seguro? seráque eles não "abrem" seu email para ver oque tem dentro?

Complicado... você ganha um segurança mas perde outra.


Title: Re: PSA: CoinMarketCap hackeada
Post by: TryNinja on November 01, 2021, 12:14:53 AM
Complicado... você ganha um segurança mas perde outra.
É... algo que fiz durante um tempo foi utilizar de um dos meus dominios próprios para fazer um email catch-all. Você tem alí o ninjaincrivel.com e pode fazer cmc@ninjaincrivel.com, bitcointalk@ninjaincrivel.com, etc... que os emails sempre vão chegar na mesma caixa postal. Ai você tem total controle sobre a origem de cada vazamento e ainda consegue bloquear um desses emails caso caia em uma lista de spam.

Como você vai (supostamente) hostear o provedor você mesmo, tem uma garantia maior de que não tem um terceiro te espionando.


Title: Re: PSA: CoinMarketCap hackeada
Post by: joker_josue on November 01, 2021, 08:11:18 AM
Todas essas opções são bem interessantes e validas.

Mas, eu depois acabo sempre por usar a mesma técnica, simples e básica:
- Não importa do email usado, ter um password diferente para cada serviço.
- Não sair clicando em todo e qualquer link de email.
- Não abrir todo e qualquer email.
- Não fazer download de ficheiros de origem desconhecida.
- Ler bem o email, para perceber se veem de onde diz vir.


Já perdi a paciência para todas essas manobras.  ::)


Title: Re: PSA: CoinMarketCap hackeada
Post by: l3pox on November 03, 2021, 10:24:21 AM
Eu aconselho a todos a usar emails diferentes dependendo do serviço. O hotmail/outlook permite criar vários aliases completos, diferente do alias do gmail onde é composto pelo email base.

Algo melhor ainda é oque oferece a Apple, por exemplo com o seu serviço de Relay de Email, onde eles criam um email totalmente aleatório que simplesmente recebe as mensagens e redireciona para o seu email verdadeiro, assim só eles sabem qual é seu verdadeiro email.

Existem diversas outras empresas que oferecem o mesmo serviço, inclusive alguns gratuitos, o problema é confiar nesse intermediário para receber e te encaminhar todos esses emails... será que é seguro? seráque eles não "abrem" seu email para ver oque tem dentro?

Complicado... você ganha um segurança mas perde outra.

O DuckDuckGo tem um serviço assim
Introducing Email Protection: The easy way to block email trackers and hide your address (https://www.spreadprivacy.com/introducing-email-protection-beta/)

o legal é que ele remove os trackers de emails também, links que marcariam seus cliques pra remarketing, mensagens customizadas, etc...



Complicado... você ganha um segurança mas perde outra.
É... algo que fiz durante um tempo foi utilizar de um dos meus dominios próprios para fazer um email catch-all. Você tem alí o ninjaincrivel.com e pode fazer cmc@ninjaincrivel.com, bitcointalk@ninjaincrivel.com, etc... que os emails sempre vão chegar na mesma caixa postal. Ai você tem total controle sobre a origem de cada vazamento e ainda consegue bloquear um desses emails caso caia em uma lista de spam.

Como você vai (supostamente) hostear o provedor você mesmo, tem uma garantia maior de que não tem um terceiro te espionando.

haha sensacional esse domínio @TryNinja
essa solução realmente é boa do ponto de vista de segurança mas bem mais trabalhosa, ter que logar no domínio, criar o endereço de email novo, etc...
uso isso para algumas coisas específicas onde todos os assuntos são referentes ao mesmo projeto mas quero saber de onde veio o request, se de um cliente buscando atendimento ou uma pessoa que ainda não é cliente, por exemplo.
Mas para casos do dia-a-dia prefiro o + e também considerar que alguns dos emails já estão "tainted" então lido com eles como andar num campo minado...

agora, e esses novos scripts "no-click"
já ouviram falar?

meio bizarro, qual a chance disso se popularizar e conseguir infectar muitos usuários antes de patches/atualizações corrigirem?

referências:
NSO's Pegasus Scandal: Zero-Day, Zero-Clicks, Zero-Privacy? (https://tutanota.com/blog/posts/pegasus-scandal-meaning-privacy/)
If spyware sales aren't stopped, 50 million people could be targeted: Edward Snowden (https://www.theweek.in/news/world/2021/07/20/if-spyware-sales-arent-stopped-50-million-people-could-be-targeted-edward-snowden.html)


Title: Re: PSA: CoinMarketCap hackeada
Post by: TryNinja on November 03, 2021, 11:35:25 AM
essa solução realmente é boa do ponto de vista de segurança mas bem mais trabalhosa, ter que logar no domínio, criar o endereço de email novo, etc...
Não, um catch-all funciona com todos os emails por padrão. Eu não preciso criar o bitcointalk@ninjaincrivel.com, posso simplesmente usar ele diretamente e o email vai chegar. Por isso é um "catch-all".


Title: Re: PSA: CoinMarketCap hackeada
Post by: joker_josue on November 03, 2021, 04:12:42 PM
agora, e esses novos scripts "no-click"
já ouviram falar?

meio bizarro, qual a chance disso se popularizar e conseguir infectar muitos usuários antes de patches/atualizações corrigirem?

Esse é dos esquemas mais eficazes e populares. Levar as pessoas a instalar ficheiros sem clicar.

Por mais avisos que existem, as pessoas continua a cair nesses esquemas com uma facilidade incrível.

Pior é que esses scripts até nem são muito difíceis de conseguir, nem muito caros na dark web.
Só é preciso imaginação para os saber implementar de forma subtil em emails e sites.


Title: Re: PSA: CoinMarketCap hackeada
Post by: l3pox on November 04, 2021, 02:18:06 PM
essa solução realmente é boa do ponto de vista de segurança mas bem mais trabalhosa, ter que logar no domínio, criar o endereço de email novo, etc...
Não, um catch-all funciona com todos os emails por padrão. Eu não preciso criar o bitcointalk@ninjaincrivel.com, posso simplesmente usar ele diretamente e o email vai chegar. Por isso é um "catch-all".

que maneiro! não sabia que isso existia
agora fez sentido

sabe se dá pra implementar em qualquer domínio que tenha serviço de email?

realmente pode ser bem útil para várias coisas


Title: Re: PSA: CoinMarketCap hackeada
Post by: joker_josue on November 04, 2021, 02:30:33 PM
sabe se dá pra implementar em qualquer domínio que tenha serviço de email?

realmente pode ser bem útil para várias coisas

Se tiveres um domínio e um servidor com email associado, qualquer email enviado para @oteudominio.com vai para uma caixa de email geral. Depois podes configurar o omeuemail@oteudominio.com e ai vai para uma caixa de email própria.


Title: Re: PSA: CoinMarketCap hackeada
Post by: TryNinja on November 04, 2021, 02:48:14 PM
sabe se dá pra implementar em qualquer domínio que tenha serviço de email?
Acho que vai depender de qual provedor de email você usa por trás (seja self-hosted ou de um terceiro, tipo Google ou Protonmail), mas na teoria é possível para qualquer dominio.

Eu que uso o ProtonMail, conseguiria fazer caso minha conta fosse "Pro" ou "Visionary" (que tem mensalidade): https://protonmail.com/support/knowledge-base/catch-all/


Title: Re: PSA: CoinMarketCap hackeada
Post by: l3pox on November 04, 2021, 03:04:38 PM
irado!
dá pra encontrar fácil de seu domínio suporta ou não procurando "catch all email on [seu provedor]"

aqui tem pra quem usa domain.com
https://www.domain.com/help/article/email-management-how-to-set-up-a-catch-all
pra quem está no godaddy
https://br.godaddy.com/help/configure-uma-conta-de-email-catch-all-7592

bem interessante

legal, aprendi algo novo
 ;D