ну все, хватит тапками кидать в меня.Понял,уяснил, я пока до 43-ей страницы дошел, вот и спросил. Надо было тему с конца читать, умнее показался бы

Вы получили в общей сложности 10 заслуг. Именно это определяет ваш рейтинг на форуме. Обычно Вы не можете потерять эту заслугу. У вас есть 5 разумных заслуг (заслуг), которые вы можете отправить другим людям. Нет смысла копить заслуги; сохранение их себе не приносит пользы, и мы оставляем за собой право в будущем распадать неиспользованный смерит.

Это перевод. Так сгорает или нет? Вы сами тут на первых 35-ти страницах писали, не жлобьтесь, раздавайте, все равно сгорит.
Блин, то я Вася, то не Вася. Пошел дальше тему изучать

Первый в основном на дурака лепят я замечал) выпрашивают, или в такие темы запрыгивают и получают  

Я получил впервые свой первый мерит вчера за полгода и понял, что это не фантастика и реально.

Внимательнее читайте правила, для подачи заявки вам должно нехвататать одного мерита для следующего ранга, в вашем случае у вас должны быть 9 меритов, чтобы вам дали десятый.

Как хорошо, что есть уже достойная альтернатива этому форуму - altcoinstalks, где за активность можно очень быстро добраться до легенды, и где уже есть достойный выбор Баунти кампаний. Так что пусть не сильно здесь ужесточают, а то ведь есть куда отсюда свалить.

Кстати,когда сгорает с-мерит,в последний день месяца? А то 5 штучек накопилось,рука чешется проверить,как это работает

Это по крайней мере прозрачно, нужно постараться, не провоцирует писать короткие сообщения и поднимать старые темы. Ошибиться не получится, а использовать свои собственные аккаунты для бана, сильно сомневаюсь, что имеет смысл / целесообразно по времени потраченному на это.

Недавно отвечал на личное сообщение про то, как получить мерит, думаю, тут будет уместно текст ответа в качестве альтернативы предложить:
Любые альтруистические начинания, думаю, заслуживают поощрения, например, до того как форум накрыло волной баунти и ICO, темы про альткоины и биткоин-сервисы переводили и сопровождали на чистом энтузиазме. Сейчас же мало кто пальцем пошевелит бесплатно. Так вот в этом лично я вижу огромный пласт деятельности, за которую другие рано или поздно могут отблагодарить.

Спасибо всем, кто конструктивно высказывался против поощрения за репорты. Я вас услышал практически сразу. Шапку темы лучше отредактировать и указать, что это не актуально.

Миллионный аккаунт был зареган 11 мая 2017. А чтобы вырос герой нужно минимум 35 двухнедельных периодов (activity 490).

При проверке первого миллиона пользователей форума - получилось около 900 тысяч, пользователей меньше потому что
в случае:  "Последняя активность: Никогда" ('Никогда' - неправильный формат базы данных).


Быстрая сортировка 900K участников:

• 661K Без сообщений (Только зарегистрированы)
• 190K Новички
• 45K Дж. Мембер
• 12K Mембер
• 11K Фулл Мембер
• 8K Сеньор
• 2K Легендари
• 4K Герой

Таким образом 90% из первого миллиона аккаунтов это Абсолютные новички или Новички.

Аккаунты пользователей в количестве 303K в последний раз были активны в этом году (202K абсолютных новичков), это выглядит подозрительно

...ибо люди очень быстро теряют смысл того, к чему они шли, нужны что ли какие-то поощрения...

я заархивировал. еще кой какие секретные фичи сделаю, отпишусь в той теме.
1. пароль с почтой у меня норм, но хотелось перестраховаться и еще усилить. Страшно, пугают возможной автоматической блокировкой. один раз я уже менял и почту и пароль, месяца 2 назад, усиливал. По роутеру рекомендации какие? на днях смотрели, сказали самых известных уязвимостей нет

я вот думаю, топикстартер на самом деле не знал ответ на этот вопрос? ведь все же очевидно.

В итоге, какая практика более распространенная?  ссылку на архив держать со скрином профиля и адресом BTC в поле или отписаться в этой теме для цитирования?
https://bitcointalk.org/index.php?topic=996318.0
Пользователи локальных разделов там пишут?

Серьёзная история. Не совсем понял, какое то количество пользователей потеряло учётные записи?

Росс Уильям Ульбрихт, легендарный создатель рынка «Шелковый путь» в дарк-вебе, сегодня был приговорен к смертной казни в федеральной тюрьме. «Жить и умереть в тюрьме».

Ульбрихт стал героем для многих в сообществе darknet, а также среди более широкой публики. Биткойн и либертарианские движения, после его ареста в ноябре 2013 года, объяснили, что он является создателем и оператором Шелкового пути под псевдонимом «Проклятый пират Робертс». Его арест произошел после месячного расследования несколькими правоохранительными органами в Соединенных Штатах
https://darknetmarkets.org/news/silk-road-founder-ross-ulbricht-sentenced/

Малая часть из этого числа, около 9% или 44 869 учетных записей пользователей использовали хеширование MD5 с уникальным модификатором (salt)  для дополнительного уровня безопасности. LeakedSource смог взломать 68% этих пользователей или 30 389 паролей.

Примечательно, что оставшиеся 91% паролей пользователей были хэшированы с помощью «sha256crypt» - метода хранения паролей, который LeakedSource считал «намного превосходящим по безопасности практически каждый веб-сайт, который мы видели до сих пор». Это высокая оценка от ресурса, который показывает детали частотных сбоев данных, в то время, когда мега-нарушения данных сотен миллионов пользователей являются обычным явлением.

Форум также был доступен на forum.bitcoin.org в течение некоторого времени, прежде чем он перешел на bitcointalk.org IIRC.
«Имя» форума на самом деле «Биткойн форум», а не «БиткойнТалк» (см. Левый верхний угол этой страницы).

Кроме того, может быть примечательно, что в течение некоторого времени DDOSing этого форума совпадал с дампами доминирующей на тот момент Биткойн биржей MtGox. Например вы могли бы DDOS-ить этот форум, а это в свою очередь, снижало цену биткойнов. Рыночные манипуляции, Дикий Дикий Запад

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

По состоянию на 7 октября 2013 года Bitcoin Forum был восстановлен на bitcointalk.org.
-----BEGIN PGP SIGNATURE-----

iF4EAREIAAYFAlJSRF8ACgkQxlVWk9q1keemWgD/WcvrsikPq6AHpEo20KGmQInp
FlyAWNbX74z65KJrsUEBAIcCzYnHZ7gAs49mlhSq1fR9o2LZCETV3BJveCTu7lAi
=b9Xb
-----END PGP SIGNATURE-----

Я получил это письмо вчера:

Это не очень удивительно/интересно, но я подумал, что могу рассказать о том, что я получил повестку в суд для предоставления информации, связанной с предполагаемой учетной записью форума принадлежащей Россу Ульбрихту. Я в основном просто предоставлял общедоступную информацию. Единственными непубличными данными, о которых я должен был рассказать, были некоторые удаленные сообщения в  теме о магазине героина, которые не были интересны для департамента полиции и это вряд ли сможет помочь им в этом деле

Возможно вы будете удивлены, узнав, что это первая повестка, которую я получил за время работы форума.

22 мая в 00:56 UTC злоумышленник получил root-доступ к серверу форума. Затем он попытался получить дамп базы данных форума, прежде чем я заметил это примерно в 1:08 и выключил сервер. В этот промежуток времени, возможно, он смог собрать частично или полностью все таблицы «Мемберов». Вы должны предположить, что произошла утечка следующей информации о вашей учетной записи:
- Адрес электронной почты
- Хэш пароля (см. Ниже)
- Последний использованный IP-адрес и IP-адрес регистрации
- Секретный вопрос и основной (не защищенный от брут-форса) хэш вашего секретного ответа
- различные настройки

Таким образом, вы должны сменить свой пароль на этом форуме и в любом другом месте, где вы использовали этот пароль. Вы должны отключить свой секретный вопрос и предположить, что злоумышленник теперь знает ваш ответ на ваш секретный вопрос. Вы должны подготовиться к получению фишинговых писем на ваш адрес электронной почты, указанной для этого форума.

В таких случаях нельзя исключать все возможные варианты, однако я не считаю, что злоумышленник смог получить любые личные сообщения или другие конфиденциальные данные, кроме тех, что я перечислял выше.

Пароли хэшируются с 7500 раундами sha256crypt. Это довольно хорошо, но, конечно же, не за пределами атаки. Обратите внимание, что даже если SHA-256 используется здесь, sha256crypt отличается от алгоритма BitWine SHA-256d PoW, который применяет ASICs Bitcoin Mining - это практически наверняка не может быть модифицировано для взлома паролей форума.

Теперь я подробно расскажу о том, с какой степенью уверенности вы можете ожидать, что ваш пароль будет защищать вас от действий конкретного атакующего. Однако, вне зависимости от того, насколько силен ваш пароль, единственным разумным поступком будет являться немедленная смена вашего пароля здесь и в любом месте, где вы использовали его, или же подобный пароль.

В следующей таблице показано, сколько времени в среднем потребуется для довольно серьезно подготовленного технически атакующего для взлома RANDOM- паролей с использованием текущей технологии в зависимости от алфавита и длины пароля. Если ваш пароль не является полностью случайным (т. Е. Сгенерированным с помощью dice или при помощи генератора случайных чисел), вы должны предполагать, что ваш пароль уже взломан.

Не принесет особой пользы превращение слов при помощи слэнга leetspeak или же размещение цифр между словами. Если у вас пароль, например, «w0rd71Voc4b», вы должны знать, что это всего 2 слова и не стоит чувствовать себя в безопасности. В действительности, ваши дополнительные сложности лишь немного замедлят атакующего, но эффект от подобного гораздо меньше, чем вы думаете. Опять же, время, указанное в таблице, применяется только в том случае, если слова были выбраны случайным образом из списка слов. Если слова являются популярными - в любом случае, и особенно если они составляют грамматическое предложение или являются цитатой из книги / веб-страницы / статьи / и т. д., Вы должны знать, что ваш пароль будет взломан.

Каждый пароль имеет свой собственный 12-байтовый случайный модификатор (salt), поэтому невозможно атаковать более одного пароля в такой работе. Если для взлома пароля потребуется около 5 дней, все эти дни будут потрачены только на ваш пароль. Поэтому вполне вероятно, что слабые пароли будут взломаны в массовом порядке - более сложные пароли будут взломаны только в целенаправленных атаках на конкретных людей.

Если из-за этого скомпрометирована ваша учетная запись, отправьте сообщение по электронной почте acctcomp15@theymos.e4ward.com из электронной почты, которая была ранее связана с вашей учетной записью.

Из соображений безопасности я удалил все черновики. Если вам нужен удаленный черновик, свяжитесь со мной в ближайшее время, и я, по возможности смогу передать его вам.

У некоторых людей могут не показываться аватары. Просто загрузите свой аватар еще раз, чтобы это исправить.

В настоящее время обработка платежей Unproxyban не работает. Если вы хотите зарегистрироваться, но вы не можете, попросите кого-нибудь опубликовать в Meta про то, что не получается зарегистрироваться, после этого вы будете в белом списке.

Поиск временно отключен, но он не будет отключен в течение долгого времени, потому что я улучшил код переиндексации.

Если вы сумели сменить свой пароль за то короткое время, когда форум был в сети, где-то чуть более суток назад, этого изменения не было. Вам придется сменить пароль снова.

Как произошел инцидент:

злоумышленник смог получить учетные данные доступа KVM для сервера. Расследование того, как это могло произойти, до сих пор продолжается, я еще не знаю всех деталей, и поэтому пока не хочу публиковать все известные данные, о которых знаю, но я практически уверен, что это проблема со стороны Интернет-провайдера.

После того, как он получил доступ к KVM, злоумышленник убедил ISP NFOrce, что он - это я (используя мой доступ к KVM как часть его доказательств) и сказал, что он самостоятельно заблокировал сервер. Таким образом, NFOrce сбрасывает для него пароль администратора сервера, предоставив ему полный доступ к серверу и минуя большинство наших тщательно разработанных мер безопасности. Я изначально предполагал, что атакующий получил доступ при помощи социальной инженерии, но последующее исследование показало, что это, вероятно, только часть общей атаки. Насколько мне известно, общие методы безопасности NFOrce не хуже обычных.

Чтобы сократить время простоя и избежать временно нарушенных функций, я изначально собирался оставаться в центре обработки данных NFOrce. Однако некоторые вещи сделали меня подозрительным, и я переместил все в другое место. Вот тут и появился дополнительный день простоя после короткого периода безотказной работы. Никаких дополнительных данных не было.

Форум заплатит до 15 XAU (преобразованных в BTC) за получение информации о реальной личности злоумышленника. Точные суммы платежей будут зависеть от качества и полезности информации, а также от той информации, которая у меня уже есть, но если вы, например, окажитесь первым, кто обратится ко мне, и ваша информация позволяет мне успешно преследовать этого человека, тогда вы получите 15 XAU полностью. Вы должны на самом деле убедить меня в том, что ваша информация точна – бесполезно просто отправлять мне чье-либо имя.

Злоумышленник использовал следующие IP-адреса / электронную почту:
37.48.77.227
66.172.27.160
lopaz291@safe-mail.net

Мой браузер взломан!

Хахаха, это очень смешно. Все, что связанно с биткойном не безопасно в наши дни.
Дерьмо, изображения Косби везде!

Кто-то приложил огромные усилия для этого. Если бы все хакеры были такими забавными.

EDIT: Чтобы обезвредить атаку Косби – используйте Адблок…и блокируйте "bitcointalk.org/Smileys/default/final.js"  -  Спасибо ShadowOfHarbringer и TechCF <3

3 сентября злоумышленник использовал уязвимость 0-го дня для форума на SMF, чтобы получить права администратора форума. Это оставалось незамеченным до 9 сентября, когда он добавил некоторые раздражающие JavaScript на все страницы. В этот момент форум закрылся.
Злоумышленник мог запускать произвольный PHP-код, поэтому он мог бы скопировать все хэши паролей и прочитать все личные сообщения. Он также смог бы выполнить все действия, которые обычно выполняют администраторы, такие как редактирование / удаление / перемещение сообщений.

Пароли

Неизвестен тот факт, смог ли злоумышленник скопировать хэши паролей, но следует предположить, что это было сделано.
SMF хэширует пароли с помощью SHA-1 и связывает хэш с вашим (строчным) именем пользователя. Это, к сожалению, не самый безопасный способ хэширования паролей.
Ваш пароль для форума, должен считаться скомпрометированным, в случае если ваш пароль:
- Менее 16 символов, только цифры
- Менее 12 символов, только в нижнем регистре
- Менее 11 символов, строчные + числовые
- Менее 10 символов, нижний регистр + верхний регистр
- менее 9 символов, строчные + прописные + цифры
- менее 8 символов, все стандартные символы.

Если у вас в пароле только на 2-3 символа больше, чем указано выше, то вы должны предполагать, что ваш пароль будет скомпрометирован в ближайшем будущем.

Независимо от того, насколько силен ваш пароль, рекомендуем изменить его на форуме и в любом месте, где вы его использовали.

Состояние базы данных

Существуют резервные копии из более ранних (предыдущих) состояний базы данных, однако было принято решение продолжить с самым последним состоянием базы данных, чтобы избежать потери нескольких тысяч сообщений. Если вы заметили, что какие-либо ваши сообщения отсутствуют или были изменены, сообщите мне.
Также возможно, что злоумышленник получил доступ и контролирует несколько учетных записей. Если вы не можете зайти в свою учетную запись - напишите мне, и я верну ваш пароль к его предыдущему значению.

Дополнительная информация о атаке

Атакующий сначала заплатил за учетную запись донатора, чтобы можно было изменить отображаемое имя пользователя. Отображаемое поле имени пользователя не сбрасывается должным образом, поэтому он смог добавить туда SQL-инъекцию. Он присвоил учетную запись Сатоши, и из административного интерфейса Сатоши он смог ввести произвольный PHP-код, изменив шаблон стиля.
Злоумышленник, вероятно, использовал эти учетные записи пользователей, хотя его уровень доступа позволял ему подделать эти данные:

brad
EconomicOracle
Economic Oracle
SwimsuitPaul
BitcoinsInMyLoins

Он, вероятно, использовал эти IP-адреса:

74.242.208.159
74.242.205.69
152.14.219.223
152.14.247.62
74.242.205.161
74.242 .206.245
74.242.208.159
74.242.235.132
98.69.157.69
98.69.160.187
41.125.48.26
150.206.212.72
(Спасибо Марку Карпелесу за то, что он нашел большую часть этой информации.)

Изменение хостинга

Марк Карпелес теперь занимается хостингом сервера форума. Форум по-прежнему принадлежит Сириусу, как всегда. Изменений политики не будет.

Подписанная версия этого сообщения

Спустя несколько часов после этого, сыграв вспомогательную роль в падении империи наркотиков «Шелковый путь», веб-сайт Bitcointalk.org подвергся взлому, в результате которого в открытом доступе оказались личные сообщения пользователей, сообщения электронной почты и пароли.

-----BEGIN PGP SIGNED MESSAGE-----
 Hash: SHA256

 К сожалению, недавно было обнаружено, что сервер Bitcoin Forum
 был скомпрометирован. В настоящее время считается, что злоумышленник(и) * могли получить *
 доступ к базе данных, но в настоящее время точно неизвестно, так ли это на самом деле.
 Если бы они сделали запрос к базе данных, они получили бы доступ ко всем
 личным сообщениям, электронным письмам и хэшам паролей. Чтобы быть в безопасности,
 всем пользователям Bitcoin Forum необходимо знать, что любой используемый пароль
 на форуме в 2013 году небезопасен: если вы использовали этот же
 пароль на другом сайте, измените его. Когда Bitcoin Forum выйдет из офлайна -
 необходимо сразу же сменить ваш пароль.

 Пароли на Bitcoin Forum хэшируются с 7500 раундами
 sha256crypt. Это очень серьезная защита. Взлом может занять годы для
 реально сложных паролей. Тем не менее, лучше всего
 предположить, что злоумышленник сможет взломать ваши пароли.

 Форум Bitcoin выйдет из офлайна в течение нескольких следующих дней после
 проведения полного расследования, и мы уверены, что эта
 проблема не повториться.

 Используйте http://www.reddit.com/r/Bitcoin/ и #bitcoin на Freenode для получения новой
 информации по мере её поступления.

 Приносим свои извинения за доставленные неудобства.
-----BEGIN PGP SIGNATURE-----

 iF4EAREIAAYFAlJNCE8ACgkQxlVWk9q1kecABgD9H5sbb0DopdLsODAmv6LWmIaW
 kgfyYTlh8GezYbYx7c8A/iTh0/DCwaXuNKK/qUWpewR/L6HEOuAqa/ML1D+K9mZc
 =1NYs
 -----END PGP SIGNATURE-----

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Вот что мы думаем:

Около 8-14 часов назад злоумышленник воспользовался уязвимостью регистратора форума AnonymousSpeech, чтобы изменить DNS форума на 108.162.197.161 (точные сведения неизвестны). Сириус заметил это 8 часов назад и немедленно передал bitcointalk.org другому регистратору. Однако подобные изменения занимают около 24 часов в реализации.

Поскольку протокол HTTPS реально ужасен, только это само по себе могло бы позволить злоумышленнику перехватывать и изменять зашифрованные сообщения форума, позволяя видеть пароли, отправленные во время входа в систему, куки аутентификации, PM и т.д. Ваш пароль мог быть перехвачен, если вы входили на форум в этот момент времени. Я аннулировал все коды безопасности, поэтому вы не рискуете потерять свою учетную запись, даже если вы вошли в систему, используя функцию «запомнить меня», не вводя свой пароль.

В течение следующих ~ 20 часов вы должны заходить на форум только в том случае, если уверены, что соединяетесь через правильный сервер. Это можно сделать, добавив «109.201.133.195 bitcointalk.org» в ваш файл hosts (не забудьте удалить его позже!) Либо используя какой-нибудь плагин для браузера, чтобы убедиться, что вы соединяетесь с сервером с сертификатом TLS. Отпечаток SHA1:
29: 0E: CC: 82: 2B: 3C: CE: 0A: 73: 94: 35: A0: 26: 15: EC: D3: EB: 1F: 46: 6B

Одновременно форум стал целью массированной атаки DDoS. Эти два события, вероятно, связаны между собой, хотя я еще не уверен, зачем злоумышленник делает обе эти вещи сразу.-----BEGIN PGP SIGNATURE-----

3 октября было обнаружено, что злоумышленник вставил некоторый JavaScript в страницы форума. Вскоре после этого форум был закрыт, чтобы вопрос можно было тщательно изучить. После расследования я решил, что злоумышленник, скорее всего, имел возможность запустить произвольный PHP-код. Поэтому злоумышленник, вероятно, мог получить доступ к личным сообщениям, адресам электронной почты и хэшам паролей, хотя неизвестно, действительно ли он это сделал.
Пароли были очень сильно хэшированы. Каждый пароль хэшируется с 7500 раундами sha256crypt и 12-и байтным случайным модификатором (salt). Для взлома – каждый пароль необходимо атаковать индивидуально. Однако даже довольно сильные пароли могут быть взломаны в течение долгого времени, а слабые пароли (особенно те, которые используют несколько слов из словаря) могут быть взломаны гораздо быстрее. Поэтому мы рекомендуем вам сменить пароль на этом форуме и в любом другом месте, где вы его использовали.
Злоумышленник мог изменить сообщения, PM, подписи и зарегистрированные биткойн-адреса в вашем профиле. Для меня нецелесообразно проверять все эти вещи для всех, поэтому вам следует дважды проверить свои собственные материалы и сообщить мне о любых нарушениях.
Как была проведена атака
Я считаю, что это было сделано так: после взлома в 2011 году атакующий вставил несколько бэкдоров. Они были удалены Марком Карпеллесом, когда он проверял код после взлома, но через некоторое время атакующий использовал хэши паролей, которые он получил из базы данных, чтобы взять под контроль учетную запись администратора и вставить бэкдоры обратно. (Это один из недостатков форума на SMF, позволяющий войти в систему, используя только свой пароль hash. Не требуется брутфорс. Это было исправлено на форуме, когда система паролей была изменена, более года назад.) Бэкдоры были в неявных местах, поэтому они не были замечены, пока я вчера не сделал полную проверку кода.
После того, как я нашел бэкдоры, я увидел, что кто-то (предположительно атакующий) разместил свой метод атаки с соответствующими деталями. Поэтому весьма вероятно, что это был именно этот метод атаки.
Поскольку бэкдоры первоначально были установлены еще в конце 2011 года, с того момента базу данных можно было тайно получить в любое время.
Первым попал под подозрение тот факт, что атака была совершена при помощи использования недостатка безопасности в SMF, который позволяет загружать любой файл в каталог пользовательских аватаров, а затем использует неправильную конфигурацию в nginx для выполнения этого файла в виде скрипта PHP. Однако этот метод атаки выглядит невозможным, если установлен параметр security.limit_extensions для PHP.
Будущее
Теперь форум находится на новом сервере внутри виртуальной машины со многими дополнительными мерами предосторожности, которые, как мы надеемся, обеспечат дополнительную безопасность в случае, если существует больше уязвимостей или бэкдоров. Кроме того, я отключил много функций SMF, чтобы обеспечить меньшую поверхность атаки. В частности, non-default темы теперь отключены.
Я бы хотел опубликовать текущий код форума, чтобы его можно было тщательно проанализировать, а затем отключенные функции можно включить снова. Лицензия SMF 1.x запрещает публикацию кода, поэтому мне придется либо перейти на 2.x, и получить специальное исключение в авторских правах от SMF, либо выполнить аудит самостоятельно. Во время этого расследования я увидел несколько недостатков безопасности обновления до 2.x, поэтому я не знаю, хочу ли я обновиться, как это поможет. (1.x по-прежнему поддерживается SMF.)
Особая благодарность этим людям за помощь в решении этой проблемы:
- warren
- Private Internet Access
- nerta
- Joshua Rogers
- chaoztc
- phantomcircuit
- jpcaissy
- bluepostit
- Всем другим, кто помог

The only posts by admin were test posts, code tags, quotes, etc.

Second post on the forum (included first at the bottom), in the first topic.








First post/thread was

As far as I know first forum's address was "bitcoin.org/smf" and it was created by satoshi.

here's the oldest forum; go to: http://web.archive.org/ and search for: bitcoin.org/smf
here's the screen caps;

check the below of the page; That's so nice to see