franz
Newbie
Offline
Activity: 10
Merit: 0
|
|
April 16, 2013, 12:44:08 PM |
|
Mi baso su quanto letto qua: https://bitcointalk.org/index.php?topic=173149.msg1816127#msg1816127Hai impostato un Alias al tuo wallet? E' probabile che un Alias sia relativamente facile da trovare. Trovato l'Alias "forse" (sempre basandomi su quanto letto nella discussione), viene già scaricato il wallet criptato. A quel punto si fa un bruteforce per decriptare il wallet, e non semplicemente trovare la password, ma pare qualcosa di più semplice. E' probabile che la soluzione più semplice sarebbe togliere l'Alias o rendere anche quello molto complesso, almeno fino a qualche aggiornamento sulla situazione da parte dell'admin di blockchain.info. se fosse così è a dir poco assurdo. uno può impostare mille tipi di autenticazione e alla fine basta scoprire un alias per avere il wallet e farci qualsiasi cosa per decifrarlo? spero tanto che non sia così, quando ho un po di tempo provo a scoprirlo.
|
|
|
|
fladnaG (OP)
Member
Offline
Activity: 89
Merit: 30
|
|
April 16, 2013, 12:45:49 PM |
|
Hai modo di controllare?
hai ragione c'è un alias sul mio conto ora però non riesco a capire come hanno fatto dall'alias a risalire alla password. edit: ma poi come fanno a risalire al alias, ci vanno a tentativi??? Io non ho pubblicato da nessuna parte questo alias, e nemmeno lo avevo mai utilizzato.
|
|
|
|
franz
Newbie
Offline
Activity: 10
Merit: 0
|
|
April 16, 2013, 12:47:50 PM |
|
Mi baso su quanto letto qua: https://bitcointalk.org/index.php?topic=173149.msg1816127#msg1816127Hai impostato un Alias al tuo wallet? E' probabile che un Alias sia relativamente facile da trovare. Trovato l'Alias "forse" (sempre basandomi su quanto letto nella discussione), viene già scaricato il wallet criptato. A quel punto si fa un bruteforce per decriptare il wallet, e non semplicemente trovare la password, ma pare qualcosa di più semplice. E' probabile che la soluzione più semplice sarebbe togliere l'Alias o rendere anche quello molto complesso, almeno fino a qualche aggiornamento sulla situazione da parte dell'admin di blockchain.info. se fosse così è a dir poco assurdo. uno può impostare mille tipi di autenticazione e alla fine basta scoprire un alias per avere il wallet e farci qualsiasi cosa per decifrarlo? spero tanto che non sia così, quando ho un po di tempo provo a scoprirlo. una possibile soluzione però potrebbe essere impostare la doppia password, necessaria in caso di pagamenti
|
|
|
|
HostFat
Moderator
Legendary
Offline
Activity: 4270
Merit: 1208
I support freedom of choice
|
|
April 16, 2013, 01:04:04 PM |
|
L'Alias è qualcosa di abbastanza comune? Un nick/nome comunemente usato? Comunque se è di poche lettere, si, può essere che vadano per tentativi, con delle liste di nomi più comuni.
La doppia password al momento del pagamento non servirebbe credo, perchè una volta decriptato il wallet si ha accesso alle chiavi private.
|
|
|
|
fladnaG (OP)
Member
Offline
Activity: 89
Merit: 30
|
|
April 16, 2013, 03:05:18 PM |
|
L'Alias è qualcosa di abbastanza comune? Un nick/nome comunemente usato? Comunque se è di poche lettere, si, può essere che vadano per tentativi, con delle liste di nomi più comuni.
La doppia password al momento del pagamento non servirebbe credo, perchè una volta decriptato il wallet si ha accesso alle chiavi private.
si l'alias era un nick comunemente usato. Si dovrebbe informare blockchain di questa falla. Credo che anche senza alias sia possibile rubare il wallet. Pensa a tutti quei siti che offrono pochi centesimi di bitcoin in cambio di qualche click, lì tu vai a scrivere l'indirizzo del wallet e loro poi vedono se appartiene a blockchain, infine non so come riescono a fare un bruteforce per trovare la password. Io ho usato ultimamente qualche link che in cambio di pochi click mi davano qualche centesimo di bitcoin e credo di averli presi proprio su questo forum. Non vorrei sbagliarmi
|
|
|
|
franz
Newbie
Offline
Activity: 10
Merit: 0
|
|
April 16, 2013, 04:13:31 PM |
|
L'Alias è qualcosa di abbastanza comune? Un nick/nome comunemente usato? Comunque se è di poche lettere, si, può essere che vadano per tentativi, con delle liste di nomi più comuni.
La doppia password al momento del pagamento non servirebbe credo, perchè una volta decriptato il wallet si ha accesso alle chiavi private.
si l'alias era un nick comunemente usato. Si dovrebbe informare blockchain di questa falla. Credo che anche senza alias sia possibile rubare il wallet. Pensa a tutti quei siti che offrono pochi centesimi di bitcoin in cambio di qualche click, lì tu vai a scrivere l'indirizzo del wallet e loro poi vedono se appartiene a blockchain, infine non so come riescono a fare un bruteforce per trovare la password. Io ho usato ultimamente qualche link che in cambio di pochi click mi davano qualche centesimo di bitcoin e credo di averli presi proprio su questo forum. Non vorrei sbagliarmi mettendo il google authenticator, cm dicevo in un precedente post, si hanno 5 tentativi per trovare alias e codice, dopodiche l'account viene bloccato, ditemi se secondo voi in questo modo si dovrebbe poter proteggere l'account da bruteforce sul nome utente. rimane il fatto che se è veramente possibile ottenere un wallet dal nome utente, il sito di wallet online più utilizzato al mondo è meno sicuro del sito di un bambino di 5 anni che vende caramelle.
|
|
|
|
HostFat
Moderator
Legendary
Offline
Activity: 4270
Merit: 1208
I support freedom of choice
|
|
April 16, 2013, 04:26:59 PM |
|
SE ... e ripeto "SE", il problema è questo, penso di si, che il Google Authenticator che blocca l'accesso dopo 5 tentativi sia un buon metodo. L'altro come ho detto è quello di usare un Alias molto complesso. Attendo pure io risposte a riguardo da Piuk. (l'admin)
|
|
|
|
bitcoinplaza
|
|
April 16, 2013, 04:42:05 PM Last edit: April 21, 2013, 01:53:20 PM by John (John K.) |
|
occhio anche a finti siti come questo : http://www.blockchian [SCAM].info/ chian non chain
|
|
|
|
rriky92
|
|
April 16, 2013, 09:30:53 PM |
|
a me oggi due transazioni da -0.0006 BTC sono state fatte senza la mia volonta verso le 18 e 20 a distanza ravvicinata... forse stesso problema
|
|
|
|
INeDiA
Newbie
Offline
Activity: 14
Merit: 0
|
|
April 16, 2013, 10:10:15 PM |
|
a me oggi due transazioni da -0.0006 BTC sono state fatte senza la mia volonta verso le 18 e 20 a distanza ravvicinata... forse stesso problema
una transazione così piccola sembra più un fee di qualche servizio... una volta dentro ruberebbero tutto, non briciole
|
|
|
|
rriky92
|
|
April 16, 2013, 10:40:15 PM |
|
a me oggi due transazioni da -0.0006 BTC sono state fatte senza la mia volonta verso le 18 e 20 a distanza ravvicinata... forse stesso problema
una transazione così piccola sembra più un fee di qualche servizio... una volta dentro ruberebbero tutto, non briciole Non avevo niente su blockchain... solo briciole! Pero potrebbe essere... so solo che è impazzito ora mi ha messo circa 0.15 in piu che non dovevo avere ho e mi ha fatto fare un operazione in rosso perché i bitcoin sono arrivati dopo..:S
|
|
|
|
rb1205
|
|
April 17, 2013, 01:35:51 PM |
|
Ho come la sensazione che si stia dando a blockchain.info le colpe dei casini dei clienti.
|
|
|
|
HostFat
Moderator
Legendary
Offline
Activity: 4270
Merit: 1208
I support freedom of choice
|
|
April 17, 2013, 01:39:22 PM |
|
Può essere, l'intervento di Mike Hearn mi ha comunque preoccupato.
|
|
|
|
fladnaG (OP)
Member
Offline
Activity: 89
Merit: 30
|
|
April 17, 2013, 01:47:05 PM |
|
Ho come la sensazione che si stia dando a blockchain.info le colpe dei casini dei clienti. si ma io cliente come posso venire a conoscere di una falla del genere??? in pratica da un alias sono risaliti ad una password abbastanza complessa come può essere??? e poi da me hanno preso lo stesso importo che mi aveva versato bitminter, senza svuotare completamente il wallet.
|
|
|
|
HostFat
Moderator
Legendary
Offline
Activity: 4270
Merit: 1208
I support freedom of choice
|
|
April 17, 2013, 05:39:59 PM |
|
e poi da me hanno preso lo stesso importo che mi aveva versato bitminter, senza svuotare completamente il wallet.
Ecco, quest'ultima parte è più interessante. A quando risale quest'ultima transazione? E' fra le ultime o fra le prime?
|
|
|
|
ziomik
Legendary
Offline
Activity: 1946
Merit: 1009
SELL bitcoinmarket.net | bitcoinitalia.com SELL
|
|
April 17, 2013, 06:32:37 PM |
|
Può essere, l'intervento di Mike Hearn mi ha comunque preoccupato.
Di quale intervento stai parlando Host ?
|
DOMINI IN VENDITA/NOLEGGIO bitcoinmarket.net | bitcoinitalia.com
Contattatemi pure per info. ---- +++ ---- "Se domani senti due massaie che parlano di bitcoin tra di loro dal macellaio, forse e' il momento di vendere.. se pero' le sentirai fra 10 anni forse staranno solo pagando il conto" GBianchi ---- +++ ----
|
|
|
HostFat
Moderator
Legendary
Offline
Activity: 4270
Merit: 1208
I support freedom of choice
|
|
April 17, 2013, 06:41:38 PM |
|
|
|
|
|
fladnaG (OP)
Member
Offline
Activity: 89
Merit: 30
|
|
April 17, 2013, 09:32:38 PM |
|
e poi da me hanno preso lo stesso importo che mi aveva versato bitminter, senza svuotare completamente il wallet.
Ecco, quest'ultima parte è più interessante. A quando risale quest'ultima transazione? E' fra le ultime o fra le prime? 2013-04-15 10:04:11 0.12481096 BTC Questa è la transazione effettuata da bitminter 2013-04-15 23:33:41 -0.12481096 BTC Qui invece quando mi hanno rubato, poi non ci sono stati più movimenti adesso nel conto ci stanno pochi centesimi.
|
|
|
|
ziomik
Legendary
Offline
Activity: 1946
Merit: 1009
SELL bitcoinmarket.net | bitcoinitalia.com SELL
|
|
April 18, 2013, 10:14:58 AM |
|
Un utente mi fa notare che blockchain risulta offline infatti viene mostrata la cache di CloudFlare..
|
DOMINI IN VENDITA/NOLEGGIO bitcoinmarket.net | bitcoinitalia.com
Contattatemi pure per info. ---- +++ ---- "Se domani senti due massaie che parlano di bitcoin tra di loro dal macellaio, forse e' il momento di vendere.. se pero' le sentirai fra 10 anni forse staranno solo pagando il conto" GBianchi ---- +++ ----
|
|
|
ercolinux
Legendary
Offline
Activity: 938
Merit: 1000
|
|
April 18, 2013, 10:23:33 AM |
|
Caspita, mi era sfuggito il post: se è davvero così non è molto sicuro. Trovare un modo per sfruttare la falla non dovrebbe essere eccessivamente difficile (specialmente se il nome del wallet è facile da scoprire). EDIT: Speriamo che il fatto che sono 10 ore abbondanti che il sito è offline sia dovuto ad un aggiornamento dello stesso e non a cose peggiori (anche se un minimo di comunicazione non farebbe male)Rettifico: su twitter sono arrivati un po' di messaggi: Due to a large DDOS attack the datacenter has null routed our IP addresses during the night. Servers themselves are fine. e Should not be long now until were back. Still investigating how the attacker was able to discover our real none-cloudflare IPs. Quindi pare che i server non siano stati compromessi ma che si sia trattato di un DDOS che ha fatto scattare le protezioni di cloudfare
|
Bitrated user: ercolinux.
|
|
|
|