Bitcoin Forum

Recebi esse email do haveibeenpwned.com:


Se vocês tem conta lá, pode ser uma boa dar aquela trocada na senha (caso repita ela em todos os sites, oque você não deveria fazer) e tomar cuidado com os phishings. :(

Caso queira confirmar se você faz parte do vazamento, pode usar o próprio site que me alertou (haveibeenpwned) para pesquisar todos os vazamentos que contam com seu email.

Eu estava lendo a resposta deles: https://coinmarketcap.com/alexandria/article/good-security-habits

Segundo eles, não vazou nada e sim foi outro vazamento sendo vendido como se fosse do CMC.. também ouvi pessoas dizerem que tem cadastro no CMC e não aparecem no vazamento..


Enfim, já pensei muitas vezes em pegar os airdrops lá e nunca fiz justamente para evitar tais aborrecimentos.

Desde a fundação do site nunca abri conta lá  ;D

Vou dizer que eles estão mentindo, pois vazou um email que eu uso em pouquissimos lugares, inclusive na CMC. :D

Eu também. Nunca confiei muito nesses airdrops da coinmarketcap. Eles já distribuíram tanta porcaria lá que nem sei o que sobrou daquilo. Muita shitcoin que só dava lucro para quem fosse rápido no gatilho e trocasse o mais rápido possível. Tô fora.

A melhro coisa para evitar esse tipo de problema é usar um gerenciador de senhas.

Basta voce fazer uma senha forte, com 2FA, e o gerenciador gera todas as senhas super fortes pra voce, automaticamente. Eu uso o Lockwise  (https://www.mozilla.org/pt-BR/firefox/lockwise/)do proprio firefox. Acho ótimo.

Podem até existir melhores, mas estou bem satisfeito com ele.


Faz um throw away email para esses lixos e pronto. Não acho que gere aborrecimentos... eu nem abro o email que cadastrei la kkk


Olha, eu ja devo ter ganho bem uns 50 USD ou mais nos airdrops de lá. Nao é grande coisa, mas tb não é desprezível. Basicamente botei meu email, assisti uns videos e respondi umas perguntas dos videos.

Mas recenetemente os airdrops lá ficaram muito ruins, então nem faço mais. Como qualquer serviço, começa bom , conquistam clientes, e depois piora.

Eu fiz conta no CMC Learn para ver aqueles videos, respondero  Quiz e ganhar aqueles bounties no final (caso acerte todas as questões).
Apesar de dizerem ser bons valores, nunca consegui nada tão expressivo, porém eu também usei no cadastro um email exclusivo para esses bountyes e coisas menores, bem como uma senha aleatória que gerei usando o Bitwarden (aconselho a usarem também).

Em todo caso, obrigado pelo aviso TryNinja, pois seja ou não um vazamento do CMC, é sempre bom estar ligado.

Bitwarden é incrível, uso ele também e inclusive tenho a versão Premium (custa $12 por ano).

Outra dica legal é usar o truque do + nos emails para fazer o controle de quem está vendendo/vazando o seu email. Por exemplo, se o seu email for satoshi@gmail.com, você utiliza satoshi+cmc@gmail.com para o CMC, satoshi+binance@gmail.com para a Binance, etc... por que todos os emails acabam no seu principal e você consegue ver de onde eles estão vindo.

Pelo o que parece foram apenas emails que tem lá conta. Ao que parece as passwords, não foram comprometidas.

Mas o mais recomendado é nunca usar a mesma password em vários sites.

Mais uma dica para usar com o Bitwarden, depois que vc gerar a senha no Bitwarden, quando for usar no site/app vc coloca um "caractere" a mais que vc não vai esquecer com facilidade, assim, caso aconteça de vazar os dados da Bitwarden, vc acaba tendo mais um nível de segurança, as senhas serão diferentes e só vc sabe esse "caractere".

Essa dica do + nos e-mails é muito boa tbm.

Pois é, como falei os valores pioraram muito recentemente com a popularização.
Outrac oisa que eu descobri tb é que se voce errar as questões, voce recebe bem menos ou então nem recebe nada.

Mas os últimos eu nem fiz, acho que deixou de ser interessante esse CMC Learn..

Pelo que vocês dizem piorou em valor, porém e a questão do aprendizado? As pessoas aprendem algo ou é ruim nisso também?

Eles explicam em 3 ou 4 videos de cerca de 2 minutos cada um como uma moeda (patrocinadora do airdrop) funciona.
É bom para pessoas que não conhecem projetos de criptomoedas, da pra aprender alguma coisa.

Eu já assisti uns bacanas, tipo Band por exemplo. E alguns outros. Mas sinceramente, acho tudo meio parecido. Com uns papos de "burn supply", "staking/earn", etc... Mas a qualidade dos videos é boa.

Assiste lá alguns pra voce ter uma noção de como funciona. Não sei tem alguma campanha ainda pagando algo (normalmente é a mais de cima, mas dura poucos dias o tempo que fica aberto para voce assistir com pagamento).
https://coinmarketcap.com/earn/

Eu parei de fazer quando a unica forma de receber era baixando um software duma wallet. Eu não gosto desse tipo de coisa, dai parei de fazer. E ja nao pagava mais tao bem.

Aprendizado ? Será que dá para apreender algo somente vendo alguns minutos de um vídeo na internet de uma nova shitcoin que promete mil coisas e não entregará nada ? Você está parecendo eu que estou no mundo das criptomoedas apenas pela tecnologia. $$$$$$  :D :D

Mas esse é o ponto.
Hoje em dia não basta ser só mais uma shitcoin. Se quer ser uma shitcoin com estilo, precisa de contar a melhor historia. Isto acaba por ser uma competição não pelo dinheiro, mas porque inventa os melhores argumentos, a melhor historia. E porque? Porque "investir" nessa shitcoin é o mesmo que dizer: "parabéns ao criador, que construiu aqui uma excelente historia" é tipo dar um merit.  ::)

Neste momento o site está fora do ar.

Não está nõa, está funcionando normalmente aqui.

Esse é um dos 100 sites mais acessados do planeta. Dificil essa parada ficar fora do ar. Deve ser algo na sua conexao.

https://twitter.com/cz_binance/status/1444173747276091395

Estava dando erro 504 / 505
Agora tudo ok

um site legal pra verificar se outros sites estão realmente fora do ar ou não é o
https://downforeveryoneorjustme.com/

de vez em quando fico com a dúvida se é uma questão local ou se é pra todo mundo aí verifico nele.

Além desse tem também o DownDetector, muito útil não só para sites mas também aplicativos em geral.
Agora a pouco meu filho estava bravo porque o Roblox não abria e que ia reiniciar o tablet, então eu completei a tristeza dele dizendo que hoje não teria joguinho mesmo :D coitado!

Voltado ao on-topic, o CMC foi uma das maiores aquisições da Binance, muita grana investida nisso.. Qualquer problema do tipo instabilidade ou hack é algo para se desconfiar.

O meu email também está lá, de acordo com o https://monitor.firefox.com/
Sendo que outros emails que uso pra spam não aparecem, provavelmente o CMC foi hakceado mesmo.

Eu aconselho a todos a usar emails diferentes dependendo do serviço. O hotmail/outlook permite criar vários aliases completos, diferente do alias do gmail onde é composto pelo email base.
E usar geradores de senhas, firefox(assim como chrome) oferece um no formulário de cadastro em sites, bem mais seguro que senhas criadas por humanos pois podem se limitar a alguma coisa previsível como uma palavra+número.
Exportar uma cópia das senhas para um papel, por exemplo, e mantê-lo seguro e usar os serviços de sincronia do navegador para facilitar o seu uso. Você ficará dependente do serviço de senhas, mas imagino que algo tão crítico como isso deve estar seguro com o estado da arte em segurança de dados.

Algo melhor ainda é oque oferece a Apple, por exemplo com o seu serviço de Relay de Email, onde eles criam um email totalmente aleatório que simplesmente recebe as mensagens e redireciona para o seu email verdadeiro, assim só eles sabem qual é seu verdadeiro email.

Existem diversas outras empresas que oferecem o mesmo serviço, inclusive alguns gratuitos, o problema é confiar nesse intermediário para receber e te encaminhar todos esses emails... será que é seguro? seráque eles não "abrem" seu email para ver oque tem dentro?

Complicado... você ganha um segurança mas perde outra.

É... algo que fiz durante um tempo foi utilizar de um dos meus dominios próprios para fazer um email catch-all. Você tem alí o ninjaincrivel.com e pode fazer cmc@ninjaincrivel.com, bitcointalk@ninjaincrivel.com, etc... que os emails sempre vão chegar na mesma caixa postal. Ai você tem total controle sobre a origem de cada vazamento e ainda consegue bloquear um desses emails caso caia em uma lista de spam.

Como você vai (supostamente) hostear o provedor você mesmo, tem uma garantia maior de que não tem um terceiro te espionando.

Todas essas opções são bem interessantes e validas.

Mas, eu depois acabo sempre por usar a mesma técnica, simples e básica:
- Não importa do email usado, ter um password diferente para cada serviço.
- Não sair clicando em todo e qualquer link de email.
- Não abrir todo e qualquer email.
- Não fazer download de ficheiros de origem desconhecida.
- Ler bem o email, para perceber se veem de onde diz vir.


Já perdi a paciência para todas essas manobras.  ::)

O DuckDuckGo tem um serviço assim
Introducing Email Protection: The easy way to block email trackers and hide your address (https://www.spreadprivacy.com/introducing-email-protection-beta/)

o legal é que ele remove os trackers de emails também, links que marcariam seus cliques pra remarketing, mensagens customizadas, etc...

---

haha sensacional esse domínio @TryNinja
essa solução realmente é boa do ponto de vista de segurança mas bem mais trabalhosa, ter que logar no domínio, criar o endereço de email novo, etc...
uso isso para algumas coisas específicas onde todos os assuntos são referentes ao mesmo projeto mas quero saber de onde veio o request, se de um cliente buscando atendimento ou uma pessoa que ainda não é cliente, por exemplo.
Mas para casos do dia-a-dia prefiro o + e também considerar que alguns dos emails já estão "tainted" então lido com eles como andar num campo minado...

agora, e esses novos scripts "no-click"
já ouviram falar?

meio bizarro, qual a chance disso se popularizar e conseguir infectar muitos usuários antes de patches/atualizações corrigirem?

referências:
NSO's Pegasus Scandal: Zero-Day, Zero-Clicks, Zero-Privacy? (https://tutanota.com/blog/posts/pegasus-scandal-meaning-privacy/)
If spyware sales aren't stopped, 50 million people could be targeted: Edward Snowden (https://www.theweek.in/news/world/2021/07/20/if-spyware-sales-arent-stopped-50-million-people-could-be-targeted-edward-snowden.html)

Não, um catch-all funciona com todos os emails por padrão. Eu não preciso criar o bitcointalk@ninjaincrivel.com, posso simplesmente usar ele diretamente e o email vai chegar. Por isso é um "catch-all".

Esse é dos esquemas mais eficazes e populares. Levar as pessoas a instalar ficheiros sem clicar.

Por mais avisos que existem, as pessoas continua a cair nesses esquemas com uma facilidade incrível.

Pior é que esses scripts até nem são muito difíceis de conseguir, nem muito caros na dark web.
Só é preciso imaginação para os saber implementar de forma subtil em emails e sites.

que maneiro! não sabia que isso existia
agora fez sentido

sabe se dá pra implementar em qualquer domínio que tenha serviço de email?

realmente pode ser bem útil para várias coisas

Se tiveres um domínio e um servidor com email associado, qualquer email enviado para @oteudominio.com vai para uma caixa de email geral. Depois podes configurar o omeuemail@oteudominio.com e ai vai para uma caixa de email própria.

Acho que vai depender de qual provedor de email você usa por trás (seja self-hosted ou de um terceiro, tipo Google ou Protonmail), mas na teoria é possível para qualquer dominio.

Eu que uso o ProtonMail, conseguiria fazer caso minha conta fosse "Pro" ou "Visionary" (que tem mensalidade): https://protonmail.com/support/knowledge-base/catch-all/

irado!
dá pra encontrar fácil de seu domínio suporta ou não procurando "catch all email on [seu provedor]"

aqui tem pra quem usa domain.com
https://www.domain.com/help/article/email-management-how-to-set-up-a-catch-all
pra quem está no godaddy
https://br.godaddy.com/help/configure-uma-conta-de-email-catch-all-7592

bem interessante

legal, aprendi algo novo
 ;D