Hackers extorsionando Webs que aceptan Bitcoins

[Krako]

Hola a todos.

Tristemente acabo de descubrir en mis propias carnes, una desventaja "inesperada" de aceptar Bitcoins en sitios web pequeños como el mío.
Hemos pasado a ser objetivos de hackers a la caza de bitcoins.    

Hoy he recibido este email:

from: strunm@mac.hush.com

Your site has been hacked


Hello.
You webpage has been hacked.
I have your entire database (emails, passwords, phones, addresses, shippings, whatever).
So, this is the deal: you will transfer 25 bitcoins to this bitcoin address: 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q or I will send an email to all your clients showing them that I have all their data (btw, most of them use the same password for everything so I can access to their emails and paypal accounts).
I promise you that once I get my coins your clients will never know about me, and you can update that shitty security system that you have.
You have 5 days, after that I will start to send emails or hack your clients accounts.

Proof:

Database: xxxxxxx, 33 tables:
  
Table: tbadmin

    full_name  ID  level_id  password  username
    -------------------------------------------
    xxx0   2         xxxxxx   xxxxx
    xxx       3   1         xxxxxx    xxxxx

Some emails and passwords:
  
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@yahoo.es - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@yahoo.es - xxxxxxxxx
    xxxxxx@gmail.com - xxxxxxxxx
    xxxxxx@hotmail.com - xxxxxxxxx
    xxxxxx@hotmail.es - xxxxxxxxx
    xxxxxx@gmail.com - xxxxxxxxx

Tal y como podéis leer me han hackeado la base de datos y me extorsionan pidiéndome 25 BTC a cambio de no enviar correos a mis clientes informándoles de que tiene sus datos.

Como comprenderéis ahora mismo estoy un poco de bajón, por decirlo suavemente. Esa base de datos es el fruto de mi trabajo de los últimos 13 años...

Obviamente este tipo de extorsión solo puede hacerse con propietarios de webs que aceptan BTC, el hecho de aceptar BTC delata al propietario sobre su conocimiento del tema y la posibilidad de tener un monedero  y conocer el funcionamiento de la moneda y te aseguras un recibo del dinero limpio. Vamos que hacer esto con pago transferencia bancaria o paypal es inviable.

Me he decidido a escribir este hilo por dos razones:

1- Alertar a otros propietarios de sitios, para que incrementen la seguridad de sus webs no les pase lo mismo que me está pasando a mi, y tengan en cuenta este tema.

2- Pediros ayuda. Quizás haya por aquí algún experto en temas de seguridad de bases de datos mysql y php que me quiera echar un cable a descubrir el fallo de seguridad  (que según el extorsionista la seguridad de mi web es una mierda) para solucionarlo e intentar que no vuelva a suceder.


Gracias a todos por vuestra ayuda

Saludos

[1715135775]

1715135775

[1715135775]

1715135775

[1715135775]

1715135775

[1715135775]

1715135775

[1715135775]

1715135775

[1715135775]

1715135775

[Polvos]

Yo no tengo ni la menor idea de seguridad en servidores, pero sé lo básico sobre seguridad como usuario.

NUNCA repitáis contraseñas entre distintos sitios web cuando os deis de alta. Así si a algún administrador le roban la base de datos no podrán utilizarla para entrar en sitios más importantes como paypal, tu correo, etc.

Utilizad contraseñas seguras, esto es, largas, que mezclen mayúsculas y minúsculas, cifras y símbolos. Podéis emplear para generarlas y guardarlas algún programa seguro de gestión de contraseñas como el lastpass o el keepass.

Poneos siempre en el peor de los casos. Considerad siempre que vuestro equipo o la web en la que os acabáis de dar de alta está comprometida.

Guardad vuestros ahorros Bitcoin en coldwallets (paperwallets) si no pensáis tradear o gastarlos inmediatamente.

Utilizad siempre que sea posible la doble autentificación de google (google authentificator). Si el servicio en el que queréis daros de alta está relacionado con Bitcoin y no dispone de Google authentificator, ni os molestéis en validaros puesto que en no demasiado tiempo será hackeado y os robarán el dinero.

Con respecto a tu web... yo lo que haría sería adelantarme a ese correo del hacker enviando un aviso por correo sobre el robo de la base de datos a todos tus clientes para que cambien inmediatamente las contraseñas que pudieran haber sido comprometidas, sobretodo si la compartían con otros servicios (blockchain, cliente_qt, Bitfinex, MtGox, Correo, Paypal, etc).

Y después busca a un auténtico profesional para que te asesore sobre seguridad.

[WSDN]

Hola colega lamentable, pero te hago unas preguntas, por donde entraron si sabes alguna funcion o algo en php? que tipo de script usas en tu web? es hecho a la medida o algun soft en particular?, no usas algun tipo de template sin licencia?, suelen traer muchos exploits que la gente cree que se bajo una pagina perfecta y solo bajo mas problemas. Contanos mas por que la verdad me interesa bastante el tema saludos

[Krako]

Hola

Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.

Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.

El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?

Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.

No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.

[Shawshank]

Las razones pueden ser varias. Dos que se me ocurren:

1) ¿Es la contraseña de la base de datos una contraseña fuerte?
2) ¿Tienes el código protegido frente a "SQL injections"? Es decir, utilizas "prepared statements" al llamar a tu base de datos o lo haces concatenando cadenas? Este último punto es MUY IMPORTANTE tenerlo en cuenta.

[haztecoin]

Lo primero que tienes que hacer es lo que dijo Polvos mandar un mensaje a todos tus clientes diciendo que la BDD esta comprometida y que cambien la contraseña.
Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.

[Shawshank]

Por cierto, ya puedes hacer una copia de seguridad de toda la base de datos si no lo has hecho ya. Con la misma estrategia de SQL injection, pueden borrártela completamente.

[hugolp]

Lo siento. Si la seguridad informatica fuera mi fuerte probaría a ayudarte.

Obviamente este tipo de extorsión solo puede hacerse con propietarios de webs que aceptan BTC,

Esto le puede pasar a cualquier tienda web, acepte o no acepte bitcoins. Lo que si es cierto es que aceptando bitcoins puede hacerte un objectivo más probable, pero lo que te han hecho a ti se lo pueden hacer a cualquiera que no acepte bitcoins también.

[WSDN]

Hola

Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.

Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.

El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?

Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.

No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.

Hola Krako, lo mejor como dijeron antes, no pagues, si puedes denunciar mejor aun.
Con respecto a lo que mencionas de las web normales de pequeñas empresas por lo general suelen ser un sitio informativo. Ahora si te referis a un sitio de comercio electronico, o cualquier sitio web en general, trata de utilizar algun soft open source, nada es seguro en este mundo, pero por lo general los sitios utilizando tecnologia open source ej wordpress, drupal, typo3, prestashop, y muchos otros cms suelen ser bien mantenidos y con pocos problemas de seguridad recuerda que son millones de usuarios que utilizan dia a dia este tipo de soft y son muchos los colaboradores para mejorar el soft.

Anunciar que tu web acepta bitcoin no quiere decir que tengas tu pagina web ligada al servidor bitcoind y que aceptes bitcoin tampoco quiere decir que tengas muchas ventas en btc, solo paso que vieron tu web, la escanearon y te exploitearon, suele pasar con programaciones chicas como nombras, pero por el solo hecho de que las empresas que realizan este tipo de trabajos desde 0, ya sea por conocimientos o tiempos de desarrollo no suelen asegurar tu aplicacion, tu web por lo menos deberia tener entre otras cosas un archivo htaccess bloqueando los principales archivos de php que tengas.

Mis consejos con respecto a la web
1 - Cambia todas las contraseñas del panel de control de tu hosting como asi las de los mails y bases de datos
2 - Realiza un backup de las db
3 - Quita tu sitio ya que los archivos bulnerables siguen encontrandose ahi.
4 - Podrias colocar un simple html que diga que estas de mantenimiento pero si quita tus archivos del sitio momentaneamente.
5 - Avisales a tus clientes, tomate tu tiempo y diles que te hackearon. Que en estos momentos estas mejorando la seguridad para que esto no vuelva a suceder.
6 - Habla con los que te hicieron la web para ver que solucion te pueden dar, ya que ellos hicieron el sistema y conocen como funciona.

Saludos y esperamos novedades

 saludos

[Krako]

Obviamente le puede pasar a culaquier tienda online, pero es poco probable que pase en tiendas online pequeñas como la mia, ya que hay pocas posibilidades de cobrar en moneda de curso con seguridad.

No ataco a bitcoin solo alerto de lo que me ha pasado a mi, para que quien quiera tome nota y las medidas para que no le suceda a el. Yo no había pensado en que me podía pasar a mi y lo que más me ha llamado la atención ha sido el hecho de que pretenda cobrar en BTC y eso es por razones obvias.

[Danbcf]

Menuda faena Krako, como te han dicho por ahi, lo mejor es que avises a todos tus clientes y automáticamente denuncies el hecho.
Una pena que haya tanto sinvegüenza suelto.

Un saludo y no desesperes, vuelve a intentarlo que de todo se aprende.

[Xaxer]

tienes un privado

[goldfever]

No podes comunicarte con hush . com y pedir datos de ese usuario y directamente ir a la policia y hacer una denuncia, si le pagas seguramente te pedira mas.

[Argen-Coin]

Que fea noticia Krako. Primero que nada decirte que empatizo contigo y entiendo por el terrible momento que pasas 

El segundo asunto creo que es PASAR A LA ACCION, por duro, molesto y complicado que eso resulte.

Haz una lista de los pasos que tienes que tomar y EMPIEZA A EJECUTARLOS.

- Consultar con los desarrolladores ?
- Backapear las bases de datos ?
- Mandar un email al extorsionador pidiéndole 5 días para conseguir 25 bitcoins porque eres pobre y los tienes que comprar ? (eso te suma unos días para lo que tengas que hacer).

- Avisar a los usuarios ?
- Pasar tu sitio a otro desarrollo ? (o mejorar el actual ?)

Con la lista y la secuencia de pasos PONTE EN MARCHA DE INMEDIATO y, al cabo de unos días y con todas las tareas hechas -por duras que resulten- esto será un mal trago que habrá quedado atrás... y en el camino tu seguridad MEJORARA lo que, a la larga, será un beneficio para ti.

[joeperry]

Puesss yo mañana haria cola en delitos informaticos det la guardia civil y por supuesto intenta ganar algunos dias.

[WSDN]

Puesss yo mañana haria cola en delitos informaticos det la guardia civil y por supuesto intenta ganar algunos dias.

Si eso imprecindible pero fijate bien de llevar tus cuentas en orden, ya que tenes un sitio de venta de bienes online. saludos

[prm]

Yo quería implementar el cobro por bitcoin en mi nuevo proyecto, pero viendo esto... buff

Aunque si se puede mejorar la seguridad y hacer lo que comenta el compañero:

Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.

WSDN, ¿qué te parece?

[Krako]

Os agradezco a todos vuestras palabras de ánimo, de corazón os lo digo. Estoy pasando un día muy malo y hasta tengo los ojos vidriosos...

Lo primero que he hecho esta mañana ha sido ir a la Guadia Civil a poner la denuncia. Eso está hecho. Tengo copias de las BBDD y estoy haciendo una copia del sitio en su totalidad. También lo he puesto Offline y he cambiado todas las contraseñas BBDD FTP hosting todo.

Tengo una newsletter lista para enviar a cada uno de mis 10000 usuarios registrados explicándoles la situación pero hasta eso es dificil de plantear... Lo enviaré por la mañana cuando encuentre las palabras para poder explicar lo sucedido. No es fácil.

Respecto al pago en ningún momento me he planteado pagar... Lo he valorado 1/2 segundo al principio con el shock inicial pero NO VOY A PAGAR.

Ahora mismo mi máxima preocupación es encontrar el fallo de seguridad y arreglarlo, pero eso es lo más difícil de conseguir yo no tengo los conocimientos para hacerlo por mi mismo e Internet está lleno de peces y va a ser muy difícil encontrar a quien pueda y quiera solucionarme este tema en los que a la web se refiere.

Por eso agradezco de corazón cualquier ayuda de algún experto que me lea esto. Buscar un profesional que me arregle este tema en una web modesta no es facil y es lo que más preocupado me tiene en este minuto.

Os envío un saludo a todos

[Gilito]

No tiene nada que ver con los bitcoins. Por desgracia la extorsión a negocios online es algo bastante normal y que acepten bitcoin es indiferente. Es algo que se hace desde mucho antes de que existiesen criptomonedas. Lo único que permite el bitcoin es prescindir de muleros u otros medios de pago más complicados.
Sinceramente si la web la diseñaron profesiones habla con ellos y que se involucren. Y si fue un amateur de los que hacen webs por 300 euros asume tu responsabilidad y no culpes al bitcoin.

[vgo]

Esta claro que si mañana pagas, pasado mañana volverán a por mas.

Animo, espero lo soluciones de la mejor manera posible.

[sammir]

podrias agregarle a tu web un certificado SSL, encripta tu web a 256 bits lo que la convierte en una web mucho mas segura si lo que haces en tu web son transacciones y ventas.

[dserrano5]

podrias agregarle a tu web un certificado SSL, encripta tu web a 256 bits lo que la convierte en una web mucho mas segura si lo que haces en tu web son transacciones y ventas.

Eso no protege contra SQLi, XSS, CSRF y demás…

[WSDN]

Yo quería implementar el cobro por bitcoin en mi nuevo proyecto, pero viendo esto... buff

Aunque si se puede mejorar la seguridad y hacer lo que comenta el compañero:

Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.

WSDN, ¿qué te parece?

Pienso que es posible solucionarlo, migrando el actual sistema a otro más seguro y reforzando la seguridad en general.

[bitjoint]

Usas algún CMS tipo Wordpress, Joomla, etc? estabas al día con las actualizaciones?
Es programación tuya, con algún framework quizás?
Usas windows y usas software piratilla?
Tienes un VPS/Dedicado o compartes hosting? por lo del FTP supongo que es compartido, no?

He visto cientos de casos de estos en un curro anterior mío... te comento mis impresiones: Así a bote pronto coincido con lo que dicen los foreros de que ha sido una SQLinjection, y probablemente con un CMS sin actualizar. Aunque no descartes tener algún troyano en el PC (espero que no uses windows). A nuestros clientes les decíamos más o menos lo siguiente:

1. Comunica a todos tus clientes ipso-facto que tu web ha sido comprometida y que han de cambiar sus passwords inmediatamente, SIEMPRE, nada de esperar al día siguiente. Si usaban el mismo password en otros sitios seguramente ya se encargarán ellos de cambiarlos.
2. Formatea el PC si usas windows y NUNCA instales software que no sea comprado. He visto muchos casos donde esto pasa con troyanos que vienen de regalo en soft piratilla, y usan keyloggers, o te pillan las credenciales del panel de control haciendo un dump de contraseñas guardadas en el navegador.
3. Lee esto http://is.gd/9E2LFD. Consulta los logs de Apache (supongo que es el webserver que usas) y banea el rango de IP's desde la que se conecta. Si no tienes acceso al server, cuenta a tu host que te ha pasado y pídeles que baneen todo el rango de IP's de la red Tor, además de las iP's que hayas podido encontrar en los logs.
4. Revisa tu programación, o cambia de framework web, o si es un CMS comunícaselo a los desarrolladores para que te asistan a descubrir que URL estaban testeando (estará en los logs)
5. Envía a tomar x culo al juanker por el email que te ha dado.
6. Aprende protección básica de SQL injections y pasa escaneos periódicos con http://sqlmap.org/ . Es la librería de sql injections que usa metasploit, te ayudará a estar protegido ante el 90% de estos ataques)
7. Siempre Hashea/Saltea los passwords de la db de usuarios
8. NUNCA guardes contraseñas críticas como la de un panel de control (CPanel, Plesk, Virtuamin o lo que sea) en el navegador web cuando te pregunte: recordar contraseña? Para recordar los passwords usa un gestor como keepass http://keepass.info/


No te preocupes, estas cosas pasan con frecuencia. Suerte.

[aceptamosbitcoin]

Hola, solo decirte que no eres el único que le pasa esto,  a mí también me mandan emails para decirme que si no les pagaba una cierta cantidad de Dólares me tumbaban unas webs, me enviaron unas capturas de pantalla con las carpetas de las webs para demostrar que tenían el control de mi servidor.

No significa que ataquen las webs de BTC pero como ven que te mueves con esta moneda empiezan con este tipo de web , pero supongo que como antes pedían el dinero en LIBERTE RESERVE  y ahora no pueden pues miran otras formas de pago.
No, te líes con la seguridad de tu webs, no se puede hacer nada,  tengo webs súper seguras con todo lo que hace falta hacer para que no entren y aun así me entraron.

Lo mejor es una web hecha la web hacer una copia y tener un servidor que te puedas hacer las copias cada cierto tiempo, pero sobre el robo de las MSQL no hay nada que se pueda hacer.

Recuerda que hace poco entraron en las bases de datos de SONY, VODAFONE, OVH, NINTENDO,  y podría seguir diciendo empresas muy importantes.
Si un hacker quiere entrar en tu web lo hace, otra cosa es que este lo sepa hacer o no, pero ten por seguro que por mucho que te gastes en seguridad y en cosas para que no entren a tu sistema no lo conseguirás,  quizá lo puedas evitar con la gran mayoría de Hacker pero ten por seguro que  si alguien que sabe lo quiere hacer lo hace, nunca te gastaras más del 1% de lo que se gastan estas empresas que comento en la seguridad de tu web , por lo tanto por mucho que te gastes en seguridad será inútil para alguien que quiera entrar.

Por descontado yo nunca he pagado  y tampoco lo tienes que hacer,  me borraron unas 250 webs  y aunque tenía copias de casi todas en el servidor muchas las tuve que subir de nuevo una a una.

Quizá me gaste más en horas y en trabajo que los 2.500 dólares que me pedían, pero es tontería pagar por que si pagas aunque sea 1 BTC  y luego te gastes  1.000 BTC en seguridad entraran de nuevo  y te pedirán más dinero.
Recomiendo que no tiene que ser la mejor opción, que pases del tema, que si tienen los datos de tus clientes pues bueno que les manden lo que le quieran enviar.

No comentas nada de qué tipo de datos son ¿
Nombre y email, ¿  o dirección, números de visa, ¿ claves ccv ¿  si tienen en su poder datos bancarios o de tarjeta tienes que ir echando leches a la policía no pongas ni el tiket en la zona azul y denuncia todo esto ya que como te roben datos bancarios y de tarjetas y los propietarios puedan demostrar que fueron robados  y utilizados por culpa de tu web como no tengas una denuncia hecha se te puede caer el pelo.
Si son datos como nombre y email y poco mas no te tiene que pasar nada en lo que legalidad te pueda pasar, si quieres ir a denunciar puedes ir pero no te servirá de nada y perderás 3 o 4 horas en comisaria.
Piensa que la policía solo investiga casos en España y no se puede demostrar en qué país están los que te piden el dinero,  tampoco van hacer nada internacional por un delito de robo de emails.
Bueno espero que no me pidan mis pocos BTC que tengo…!!!

[BitAddict]

Se están poniendo las cosas muy malitas por aquí. Toda seguridad va a ser siempre poca 

No puedo aportar nada más que lo que ya se ha comentado en cuanto a seguridad. Sobre la decisión de no pagarles, sin duda es la correcta... nadie te garantiza que después no vuelvan a por más.

Te dejo todo mi apoyo y espero que puedas solucionarlo lo más rápido y mejor posible! Ya verás como en poco tiempo has salido de esta

[Krako]

Buenos días
Gracias todos por vuestros comentarios especialmente a los que comentáis haciendo una lectura en positivo e intentando ayudar y a los que habéis contactado conmigo por privado para echarme una mano, ya sabéis quienes sois. Os lo agradezco de verdad.

No creo que el problema venga de windows (es el sistema operativo que uso) casualmente estoy con un equipo nuevo que solo tiene dos semanas y es soft original con licencia, casi todo...

Ya comenté que mi web no está basada en CMS se hizo desde 0 hace como 4 años ya que lo que necesitaba era algo un poco más complejo  en el sitio se realizan ventas tanto al mayor como al público y se necesitaban dos áreas independientes etc. Pagué por ella casi 6000 pavos ayer pude contactar con el programador que la realizó, pero las cosas cambian con los años...El ya no trabaja en la empresa donde la encargué ahora trabaja en otra ciudad y bueno ni puedo ni creo que debo exigirle responsabilidades ya que yo también he ido toquiteando el código para pequeñas funciones que he ido necesitando, pero de todos modos conseguí contactar con el por email, me respondió muy rápido y espero que entre él y alguno de los que me habéis contactado ppr privado pueda ir solucionando el tema.

Afortunadamente, NO guardamos datos ultra sensibles como números de tarjetas, cuentas bancarias etc. Lo que tengo son direcciones de email, direcciones físicas, números de tfno datos sobre los pedidos y las contraseñas de acceso al sitio. Como dije ayer, lo primero que hice fué poner una denuncia  ( tuve que darles un cursillo a los agentes sobre Bitcoin  y se mostraron muy interesados) sé que probáblemente no sirva para nada pero bueno... Puesta está.

Ayer noche mientras pensaba en todo esto se me ocurrió una idea un poco marciana que os quiero comentar, a ver que os parece. No creo que la lleve a cabo es solo una pequeña marcianada basada en la máxima de "si no puedes con tu enemigo intenta unirte a él" ...
La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas. Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...  Y si lo que busca es solo pasta que mejor que ganarsela haciendo el bien. Se que es una idea un tanto marciana y es solo eso. Una idea pero espero vuestros comentarios.

saludos

[dserrano5]

La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas.

Esta gente opera sin pensar en los demás. Quizá haya alguien ahí fuera que acepte pero sería más una cuestión de suerte que otra cosa, en mi opinión.

Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...

O se encontró el exploit en internet/alguna lista de correo/algún foro ruso oscuro y lo lanzó contra todo internet, para a continuación enviar a todas las víctimas el mail de marras.

Creo que si quisiera ayudarte, ya lo habría hecho.

[hugolp]

Obviamente le puede pasar a culaquier tienda online, pero es poco probable que pase en tiendas online pequeñas como la mia, ya que hay pocas posibilidades de cobrar en moneda de curso con seguridad.

No ataco a bitcoin solo alerto de lo que me ha pasado a mi, para que quien quiera tome nota y las medidas para que no le suceda a el. Yo no había pensado en que me podía pasar a mi y lo que más me ha llamado la atención ha sido el hecho de que pretenda cobrar en BTC y eso es por razones obvias.

Lo que quiero decir es que les pueden pedir btc a cualquiero. No porque no aceptes bitcoins, van a pedirte euros. Te van a decir que te vayas a un exchange y les des bitcoins. Como he dicho, aceptar bitcoin seguramente te hace incrementar las probabilidades de ser un objetivo, pero que te pidan btc en chantaje le puede pasar a cualquiera, los acepte o no los acepte.

[aceptamosbitcoin]

Ayer noche mientras pensaba en todo esto se me ocurrió una idea un poco marciana que os quiero comentar, a ver que os parece. No creo que la lleve a cabo es solo una pequeña marcianada basada en la máxima de "si no puedes con tu enemigo intenta unirte a él" ...
La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas. Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...  Y si lo que busca es solo pasta que mejor que ganarsela haciendo el bien. Se que es una idea un tanto marciana y es solo eso. Una idea pero espero vuestros comentarios.

saludos

Aunque los mejores hackers siempre terminan trabajando para grandes empresas, creo que quien te amenaza de esta forma no lo puedes hacer cambiar de opinion, quiza si pero si el fuera listo el primer email te hubiera contado " oye mira hay un problema en su web de seguridad y esto son los datos"  te puedo decir que problema es y solucionarlo por unos pocos BTC" 

Pero del palo que van..  no se....

Mira la semana pasada me jodieron esta web:   www.veetelo.com

La tengo que borrar y hacer nueva, pero claro es una web simple y casi sin usuarios..


Por cierto que web es ?  su web..?? 


Bueno espero que encuentre pronto el problema de la web y lo pueda dejar  un poco mas segura, si le manda el email para intentar solucionar el problema nos comenta para ver que dice el tio este...

[BitAddict]

La idea era responder al hacker e intentar darle la vuelta a la historia diciéndole que NO  pienso pagar pero ofreciéndole unas monedas a cambio de que me ayude a encontrar las vulnearabilidades y a solucionarlas.

Esta gente opera sin pensar en los demás. Quizá haya alguien ahí fuera que acepte pero sería más una cuestión de suerte que otra cosa, en mi opinión.

Supongo (no se si estaré en lo cierto) que si sabe como entrar también debe saber como cerrar la puerta...

O se encontró el exploit en internet/alguna lista de correo/algún foro ruso oscuro y lo lanzó contra todo internet, para a continuación enviar a todas las víctimas el mail de marras.

Creo que si quisiera ayudarte, ya lo habría hecho.

Yo estoy de acuerdo con dserrano5, alguien de estas características no quiere ayudar, sólo dinero rápido. Además quién te dice que no te deja otra puerta abierta para volver a jugártela en unos meses.

Creo que lo mejor es seguir todos los pasos que te han comentado e ignorarle por completo. Ni un sólo mail de respuesta al individuo este... no se lo merece.

[dserrano5]

Ni un sólo mail de respuesta al individuo este... no se lo merece.

Hombre, si la poli está en el ajo, mantener el contacto con el individuo quizá merezca la pena. Si es que es tan tonto como para mantener un contacto prolongado por email. Que sí, que estará escondido y eso, pero le basta un despiste para publicar su IP, y game over.

[Krako]

Ni un sólo mail de respuesta al individuo este... no se lo merece.

Hombre, si la poli está en el ajo, mantener el contacto con el individuo quizá merezca la pena. Si es que es tan tonto como para mantener un contacto prolongado por email. Que sí, que estará escondido y eso, pero le basta un despiste para publicar su IP, y game over.

En la Poli no confío mucho. Tendríais que ver la redacción de la denuncia por el agente. Penoso

[AbraxasCcs]

Mejor no contactes a hacker por nada. Al final, si no respondes él no puede dar por cierto que has leído su email. Antes de que decidas escribirle espera al menos a que él vuelva a escribirte.

[Anillos2]

Mi opinión: que los grandes mineros se alíen y no acepten transacciones salientes de 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q.

Eso si, antes habría que asegurarse bien de que todo sea correcto, no sea que se esté bloqueando una cuenta inocente aleatoria.

[aceptamosbitcoin]

Ni un sólo mail de respuesta al individuo este... no se lo merece.

Hombre, si la poli está en el ajo, mantener el contacto con el individuo quizá merezca la pena. Si es que es tan tonto como para mantener un contacto prolongado por email. Que sí, que estará escondido y eso, pero le basta un despiste para publicar su IP, y game over.

En la Poli no confío mucho. Tendríais que ver la redacción de la denuncia por el agente. Penoso

La policia no hace nada con estos temas, lo unico que pierde la persona es el tiempo en comisaria.

Aun me acuerdo de hace 7 años que me pase 2 horas denunciando un caso como este en la oficina de los Mossos de Escuadra y lo único que hacían es reírse de mí..!! 

[BitAddict]

Mi opinión: que los grandes mineros se alíen y no acepten transacciones salientes de 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q.

Eso si, antes habría que asegurarse bien de que todo sea correcto, no sea que se esté bloqueando una cuenta inocente aleatoria.

Esto no sirve de nada por:
1. Krako no va a mandar el dinero, ya que aunque se pudiera bloquear la dirección, él seguiría perdiendo los bitcoins.
2. No se pueden bloquear direcciones/bitcoins. ¿Quién decidiría que bitcoins son robados y cuales no? Sería el principio del fin de bitcoin.

[hugolp]

Mi opinión: que los grandes mineros se alíen y no acepten transacciones salientes de 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q.

Eso si, antes habría que asegurarse bien de que todo sea correcto, no sea que se esté bloqueando una cuenta inocente aleatoria.

Esto no sirve de nada por:
1. Krako no va a mandar el dinero, ya que aunque se pudiera bloquear la dirección, él seguiría perdiendo los bitcoins.
2. No se pueden bloquear direcciones/bitcoins. ¿Quién decidiría que bitcoins son robados y cuales no? Sería el principio del fin de bitcoin.

+1

[Krako]

Nuevo mensaje de nuestro "amiguete"

From strunm@mac.hush.com

Asunto: Tic Tac

1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q

[vgo]

Nuevo mensaje de nuestro "amiguete"

From strunm@mac.hush.com

Asunto: Tic Tac

1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q

Ni puto caso, que se meta el relojito en el culo y que por supuesto no saque ningún beneficio económico, que es lo que persigue, por mucho que a ti te perjudique. Tu pierdes, pero el no gana.

[Antuam]

Hola.

Estoy contigo, ni puro caso, manda el Mail a tus clientes y que le den. A lo mejor alguna se te mosquea y te deja de comprar, pero si eres un buen proveedor, y les ofreces un descuento lo en la próxima compro o alguna cosa, poco les importarán.

Por cierto, rebuscando un poquito, he encontrado esto de este sujeto. No es mucho pero bueno. No creo sea el mismo tipo, pero puede servir para saber más.

http://www.meetup.com/HacksHackersChile/members/84710072/

Slaudos.
Antuam

[LuisCar]

Ánimo Krako, no puedo dejar de darte mi apoyo en este mal trago. ¡Ojalá pudiera ayudar en algo!

[AbraxasCcs]

Hey Krako cuando quieras nos dices y le llenamos de mierda el correo a ese individuo. Un ataque de Spam masivo para que sea serio.

[strunm@mac.hush.com] -----> ¡esta dirección me ve y se ríe!

[mrvision]

No entiendo. ¿Las contraseñas no estaban hasheadas?

[Krako]

Que tal... buenos días a todos (incluido Tú strunm@mac.hush.com)

Ya me imaginaba que nuestro amigo strunm@mac.hush.com iba acabar leyendo este hilo... y así ha sido. Bienvenido, siéntete libre de expresar tu opinión estás en tu casa XD  

Te voy a contestar, amigo. Solo con una pequeña reflexión:

En mi opinión haces un flaco favor a a Bitcoin y todos los que creemos en el potencial que tiene esta moneda para cambiar cosas a nivel global atacando e intentando extorsionar a pequeños  sitios como el mío pensando que voy a ceder y te voy a entregar 25 BTC por intentar joderme. Eres un ingenuo siento decírtelo y creo que sería mejor para todos (incluido tu) que dedicaras tus esfuerzos a no tirar piedras a tu propio tejado.
Yo también lo soy, no solo Tú... la diferencia entre tu y yo es que yo actúo de buena fe y tu no... Pero tienes razón en una cosa, los que me hicieron el sitio hace 4 años son unos ladrones a diferencia de ti que, para mi, solo eres un proyecto de tal cosa, aunque estoy seguro de que si pones empeño conseguirás tu objetivo y acabarás más jodido que las personas que intentas fastidiar... Yo así lo espero.

Por otro lado gracias a ti y a la ayuda desinteresada de algunas otras personas he abierto los ojos sobre el estado de la seguridad de mi tienda. Es la parte positiva que saco de estos últimos días.

No tengo nada más que decirte.

cuídate  

From: strunm@mac.hush.com

Asunto: hello again

Dude, there is not need to take down your website. I dont have your db, just the part that I sent to you.
You have SQLi (I dont remember where and I cant check now, your site is down).
Your login system suck (you only need to put a cookie named xxxx with value x to enter as an xxxx).
You have XSS everywhere, and Im prerry sure csrf too.
Also you shouldnt store passwords without encrypt, use at least sha1 next time.

The guy who took '6000 pavos' from you is the real thief.
Oh yeah, I saw your bitcontalk post.

"Hombre, si la poli está en el ajo, mantener el contacto con el individuo quizá merezca la pena. Si es que es tan tonto como para mantener un contacto prolongado por email. Que sí, que estará escondido y eso, pero le basta un despiste para publicar su IP, y game over."

Good luck with that...


XOXO

[LuisCar]

Y, por favor, no lo llaméis "hacker", no se lo merece:

http://es.wikipedia.org/wiki/Hacker

Una comunidad de entusiastas programadores y diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT.2 Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide Web e Internet en sí misma son creaciones de hackers.3 El RFC 13924 amplia este significado como "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"

Es un desgraciado cracker que no creo que llegue a hacer nada positivo en su vida:

Mientras que los hackers aficionados reconocen los tres tipos de hackers y los hackers de la seguridad informática aceptan todos los usos del término, los hackers del software libre consideran la referencia a intrusión informática como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analogía de "safecracker", que en español se traduce como "un ladrón de cajas fuertes").

Los medios masivos de comunicación llevan muchos años manchando la auténtica cultura hacker.

[vgo]

Enlaza este hilo aquí si aun no lo has echo, https://bitcointalk.org/index.php?board=83.0 , quizá amplies la ayuda o te encuentres con algún otro damnificado que te pueda aconsejar.

[pitosporum]

Y, por favor, no lo llaméis "hacker", no se lo merece:

http://es.wikipedia.org/wiki/Hacker

Una comunidad de entusiastas programadores y diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT.2 Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide Web e Internet en sí misma son creaciones de hackers.3 El RFC 13924 amplia este significado como "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"

Es un desgraciado cracker que no creo que llegue a hacer nada positivo en su vida:

Mientras que los hackers aficionados reconocen los tres tipos de hackers y los hackers de la seguridad informática aceptan todos los usos del término, los hackers del software libre consideran la referencia a intrusión informática como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analogía de "safecracker", que en español se traduce como "un ladrón de cajas fuertes").

Los medios masivos de comunicación llevan muchos años manchando la auténtica cultura hacker.

+1

Chapooo

[pitosporum]

Animo Krako!!
Seguro q de esta saldras mas fuerte.

[mrvision]

Insisto... las contraseñas no estaban hasheadas?

[WSDN]

Insisto... las contraseñas no estaban hasheadas?

Hola mrvision si lees los trheads anteriores veras que no, las contraseñas no estaban encriptadas.

[Anillos2]

Mi opinión: que los grandes mineros se alíen y no acepten transacciones salientes de 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q.

Eso si, antes habría que asegurarse bien de que todo sea correcto, no sea que se esté bloqueando una cuenta inocente aleatoria.

Esto no sirve de nada por:
1. Krako no va a mandar el dinero, ya que aunque se pudiera bloquear la dirección, él seguiría perdiendo los bitcoins.
2. No se pueden bloquear direcciones/bitcoins. ¿Quién decidiría que bitcoins son robados y cuales no? Sería el principio del fin de bitcoin.

¿Y existe al menos algún mecanismo para saber si una cantidad de dinero recibida ha pasado por ahí alguna vez?

Por ejemplo, si alguien me compra algo, no quiero bitcoins que hayan podido pasar por esa dirección.

[dserrano5]

¿Y existe al menos algún mecanismo para saber si una cantidad de dinero recibida ha pasado por ahí alguna vez?

Por ejemplo, si alguien me compra algo, no quiero bitcoins que hayan podido pasar por esa dirección.

Todo lo que tienes es una probabilidad. Por ejemplo, si vemos en la cadena de bloques una transacción cuyas entradas son esa dirección y otra más, entonces podemos definir (sacarnos de la manga) que las salidas vienen en un 50% de la dirección del atacante, o sea, están un 50% "contaminadas" ("tainted" en inglés). Ahora, si una de estas nuevas salidas se combina con alguna otra para un pago posterior, este porcentaje de contaminación se va reduciendo, con lo que llega un punto en que no podemos considerar que las coins que nos llegan a nuestro wallet están suficientemente contaminadas, o sea, suficientemente relacionadas con el ataque inicial.

El objetivo último de mezclar las coins es precisamente este, desvincularlas de una dirección original. Esto puede ser para blanquear dinero o simplemente, por poner un ejemplo, porque si yo saco dinero de mtgox a una dirección, puede que no me interese que mtgox sepa que tengo esa cantidad de coins, por lo que procedo a vaciar la dirección y mezclar las coins con otras para que mtgox les pierda la pista.

[Polvos]

Cuidado con todo esto.

1.-Por mucho que podamos conocer a krako, podría ocurrir que estuviese obrando de mala fe o simulando que le han robado y sería imposible demostrar lo contrario.

2.-Un comprador insatisfecho puede lograr el bloqueo de los bitcoins que acaba de enviar a un vendedor exactamente de la misma forma en que krako está denunciando estos hechos. Incluso podría tratarse de un extorsionador tratando de sacar provecho de una transacción efectuada por terceros.

3.- Existe un elevado riesgo de que bloquees los bitcoins de un inocente que no se hubiese apercibido de que esos bitcoins estaban marcados. Te recuerdo que no puedes rechazar los bitcoins que te llegan en una transacción ni saber cuál es su historial hasta que ya se encuentran en tu billetera y es demasiado tarde.

Acabar con la fungibilidad de Bitcoin es matarlo directamente. ¿Quién decidiría sobre qué bitcoins son buenos y cuáles robados? ¿Quién se atrevería a enviar sus bitcoins a un exchanger o comercio sin estar completamente seguro de que no aparecen en las múltiples listas de bitcoins perseguibles que pudiesen surgir.

No digo que krako mienta. Sólo digo que no pueden existir bitcoins de primera y bitcoins de segunda. O, para que se me entienda mejor, no pueden existir diferenciaciones entre bitcoins buenos y malos.

[Krako]

Cuidado con todo esto.

1.-Por mucho que podamos conocer a krako, podría ocurrir que estuviese obrando de mala fe o simulando que le han robado y sería imposible demostrar lo contrario.

2.-Un comprador insatisfecho puede lograr el bloqueo de los bitcoins que acaba de enviar a un vendedor exactamente de la misma forma en que krako está denunciando estos hechos. Incluso podría tratarse de un extorsionador tratando de sacar provecho de una transacción efectuada por terceros.

3.- Existe un elevado riesgo de que bloquees los bitcoins de un inocente que no se hubiese apercibido de que esos bitcoins estaban marcados. Te recuerdo que no puedes rechazar los bitcoins que te llegan en una transacción ni saber cuál es su historial hasta que ya se encuentran en tu billetera y es demasiado tarde.

Acabar con la fungibilidad de Bitcoin es matarlo directamente. ¿Quién decidiría sobre qué bitcoins son buenos y cuáles robados? ¿Quién se atrevería a enviar sus bitcoins a un exchanger o comercio sin estar completamente seguro de que no aparecen en las múltiples listas de bitcoins perseguibles que pudiesen surgir.

No digo que krako mienta. Sólo digo que no pueden existir bitcoins de primera y bitcoins de segunda. O, para que se me entienda mejor, no pueden existir diferenciaciones entre bitcoins buenos y malos.

No entiendo muy bien la explicación que has dado ni en que me benficiaría a mi... de todos modos No es mi caso. Eso si cada uno es libre de pensar como quiera. Las razones por las que inicié este hilo están en el primer post sois libres de creerme o no. Yo he cumplido mi objetivo principal, que era ver si alguién podía echarme una mano y ponerme en la senda para resolver los problemas de mi web. Afortunadamente gracias a este hilo y a la ayuda de algunas personas y a la profesionalidad de otras. Mi sitio vuelve a estar online y es mucho más seguro que hace 4 días.

No puedo decir que estoy contento, porque no lo estoy ya que no sé que repercusiones me traerá con mis clientes, pero si estoy satisfecho de como he llevado el tema y de los resultados conseguidos en 4 días. Y eso en parte ha sido gracias a abrir este hilo.

Saludos

[Polvos]

Yo te he tomado como ejemplo (espero que no te haya molestado) para explicar a aquellos usuarios que creen que "marcar" unos bitcoins como legales frente a otros sería una buen a idea, por qué no deberíamos apoyar ninguna propuesta que implique la ruptura de la fungibilidad de los bitcoins.

Probablemente digas la verdad y te hayan robado la base de datos, cosa tampoco demasiado complicada por los argumentos que aparecen en el mail que te envió el cracker (y con las contraseñas de los usuarios sin cifrar   ). Pero si estuvieses mintiendo, sería imposible de demostrar, de la misma forma que es imposible de demostrar la inexistencia de algo.

Y partiendo de esa hipótesis es por lo que digo que perder la fungibilidad de Bitcoin sería matarlo, puesto que implicaría centralizar la validación de monedas "limpias" en un organismo que debería focalizar todas las denuncias de robos (reales o no) que los usuarios reclamasen. También implicaría otros muchos problemas, como la exposición a posibles extorsiones (amenazando con denunciar como robo una transacción que a priori fue legal por alguna discrepancia entre los participantes), etc.

[Krako]

Hombre que se pongan en duda mis intenciones, aunque sea hipotéticamente, no me agrada para que te voy a engañar...
Pero entiendo lo que dices y estoy de acuerdo contigo en que no sería bueno que hubiera bitcoins "buenos" y "malos"

[liberman]

Yo te he tomado como ejemplo (espero que no te haya molestado) para explicar a aquellos usuarios que creen que "marcar" unos bitcoins como legales frente a otros sería una buen a idea, por qué no deberíamos apoyar ninguna propuesta que implique la ruptura de la fungibilidad de los bitcoins.

Probablemente digas la verdad y te hayan robado la base de datos, cosa tampoco demasiado complicada por los argumentos que aparecen en el mail que te envió el cracker (y con las contraseñas de los usuarios sin cifrar   ). Pero si estuvieses mintiendo, sería imposible de demostrar, de la misma forma que es imposible de demostrar la inexistencia de algo.

Y partiendo de esa hipótesis es por lo que digo que perder la fungibilidad de Bitcoin sería matarlo, puesto que implicaría centralizar la validación de monedas "limpias" en un organismo que debería focalizar todas las denuncias de robos (reales o no) que los usuarios reclamasen. También implicaría otros muchos problemas, como la exposición a posibles extorsiones (amenazando con denunciar como robo una transacción que a priori fue legal por alguna discrepancia entre los participantes), etc.

Se empieza marcando bitcoins como ilegales y se acaba regulando bitcoin como si fuera cualquier moneda actual. Es decir, bitcoin perdería todas sus ventajas.
Amén de otra serie de problemas, como que una persona acepte por error u omisión involuntaria transacciones con bitcoins ilegales, y ello le marcaría a si mismo y a todos con los que ha tenido transacciones como ilegal.

Dejemos que bitcoin sea lo que es y no intentemos echar encima la mano regulatoria.

[Gofio]

¿Y existe al menos algún mecanismo para saber si una cantidad de dinero recibida ha pasado por ahí alguna vez?

Por ejemplo, si alguien me compra algo, no quiero bitcoins que hayan podido pasar por esa dirección.

Todo lo que tienes es una probabilidad. Por ejemplo, si vemos en la cadena de bloques una transacción cuyas entradas son esa dirección y otra más, entonces podemos definir (sacarnos de la manga) que las salidas vienen en un 50% de la dirección del atacante, o sea, están un 50% "contaminadas" ("tainted" en inglés). Ahora, si una de estas nuevas salidas se combina con alguna otra para un pago posterior, este porcentaje de contaminación se va reduciendo, con lo que llega un punto en que no podemos considerar que las coins que nos llegan a nuestro wallet están suficientemente contaminadas, o sea, suficientemente relacionadas con el ataque inicial.

El objetivo último de mezclar las coins es precisamente este, desvincularlas de una dirección original. Esto puede ser para blanquear dinero o simplemente, por poner un ejemplo, porque si yo saco dinero de mtgox a una dirección, puede que no me interese que mtgox sepa que tengo esa cantidad de coins, por lo que procedo a vaciar la dirección y mezclar las coins con otras para que mtgox les pierda la pista.

Pero creo que estamos en las mismas, la cadena no está contaminada o no contaminada, porque salga de una dirección de alquien que haya crackeado la cuenta de Kratos, no podemos tachar partes de la misma, debido a su origen, en ese caso, la resistencia se vendría abajo, y con ella la vida de las cryptomonedas.  

La importancia de las cadenas no es su dirección origen, sino la rebustez de la misma que permita que quien la ataque, no consiga su objetivo.

Y por cuestión de blanqueo de dinero, con las monedas fiat, las commodities también se puede blanquear. ¿no creen?

[LuisCar]

Estáis desvirtuando el hilo, casi es mejor que este debate se continúe aquí:

https://bitcointalk.org/index.php?topic=293314.msg3141626#msg3141626

Si queréis conocer la opinión al respecto de uno de los desarrolladores principales, Jeff Garzik, leeros éste artículo (en inglés):

http://www.coindesk.com/what-should-we-do-with-stolen-bitcoins/

[Anillos2]

Cuidado con todo esto.

1.-Por mucho que podamos conocer a krako, podría ocurrir que estuviese obrando de mala fe o simulando que le han robado y sería imposible demostrar lo contrario.

2.-Un comprador insatisfecho puede lograr el bloqueo de los bitcoins que acaba de enviar a un vendedor exactamente de la misma forma en que krako está denunciando estos hechos. Incluso podría tratarse de un extorsionador tratando de sacar provecho de una transacción efectuada por terceros.

3.- Existe un elevado riesgo de que bloquees los bitcoins de un inocente que no se hubiese apercibido de que esos bitcoins estaban marcados. Te recuerdo que no puedes rechazar los bitcoins que te llegan en una transacción ni saber cuál es su historial hasta que ya se encuentran en tu billetera y es demasiado tarde.

Acabar con la fungibilidad de Bitcoin es matarlo directamente. ¿Quién decidiría sobre qué bitcoins son buenos y cuáles robados? ¿Quién se atrevería a enviar sus bitcoins a un exchanger o comercio sin estar completamente seguro de que no aparecen en las múltiples listas de bitcoins perseguibles que pudiesen surgir.

No digo que krako mienta. Sólo digo que no pueden existir bitcoins de primera y bitcoins de segunda. O, para que se me entienda mejor, no pueden existir diferenciaciones entre bitcoins buenos y malos.

Yo lo que digo es que de la misma forma que no compraría un coche robado, tampoco aceptaría bitcoins robados como pago.

¿Y si te obligase en el futuro la policía a devolverlos?

Es mi punto de vista, porque podría acabar pringado o algo, a mi al menos me preocupa.

[dserrano5]

¿Y si te obligase en el futuro la policía a devolverlos?

Le deseo buena suerte a la poli a la hora de demostrar que tal y cual coins, después de mezcladas, proceden de un crimen.

[Polvos]

Yo lo que digo es que de la misma forma que no compraría un coche robado, tampoco aceptaría bitcoins robados como pago.

¿Y si te obligase en el futuro la policía a devolverlos?

Es mi punto de vista, porque podría acabar pringado o algo, a mi al menos me preocupa.

Entonces haces mal en aceptar el protocolo bitcoin porque:

- Te sería imposible impedir que alguien te realice un pago con bitcoins "marcados", puesto que las transacciones de bitcoins son irreversibles e imbloqueables.

- La existencia de múltiples listas de bitcoins buenos y malos induciría al miedo a la hora de gastar, ya que nadie estaría completamente seguro de cumplir con todas ellas (o incluso con aquellas que no se hubieran hecho públicas) y una única lista gestionada por algún organismo con un cierto poder conllevaría la pérdida de la descentralización. Aquel que decidiese qué bitcoins son buenos o malos tendría todo el poder.

- Es imposible distinguir un robo de bitcoins o un intento de fraude (denuncia de falso robo por parte del propietario) de una transacción válida. La única prueba fehaciente sería la palabra de una de las partes.

- Aceptar un sistema de marcado de bitcoins abriría la puerta a la posibilidad de extorsionar a cualquiera bajo la amenaza de denunciar una determinada transacción como ilegal.

- El marcado de bitcoins escapa a la aceptación consensuada y estricta del protocolo bitcoin que todos los usuarios hacemos al leer e instalar el código fuente. Todo lo externo a éste código sería por definición externo a Bitcoin, ajeno y únicamente válido entre las partes que así lo acuerden en un intercambio, nunca impuesto a la mayoría.

- A partir de que los bitcoins marcados como robados se moviesen a una segunda dirección, existiría la posibilidad de bloquear los bitcoins de un usuario inocente. Cuantas más direcciones han visitado esos bitcoins, más plausible es la posibilidad de perjudicar a un inocente con la incautación o bloqueo. Recordad que no todo el mundo es capaz de darse cuenta de que le han robado en ese mismo instante. La mayoría de las veces los bitcoins ya se han movido por muchas direcciones distintas en el momento en el que el perjudicado da la alarma.

- No existe ningún acuerdo ni consenso sobre cuál es el porcentaje de bitcoins marcados que debe tener una dirección como para considerarla sospechosa. ¿A partir del 50% del 5% del 10%? Si la comunidad bitcoin decide que se bloquearán aquellas transacciones cuyos imputs constituyan un porcentaje muy alto (pongamos del 90%) de bitcoins marcados, sería bastante sencillo para el ladrón el diluir lo suficiente sus bitcoins marcados como para saltarse esa barrera. Si, por el contrario, la comunidad decidiese ser más estricta y no permitir aquellas transacciones con bitcoins marcados en porcentaje pequeño (un 5%) por ejemplo, los ladrones podrían extorsionar con "contaminar" direcciones de empresas, de particulares, y de donaciones de ONGs conocidas y públicas enviando unas pocas bitcoins robadas ya que supondrían superar ese límite tan estricto del 5%.


Y muchos más argumentos que se me van ocurriendo conforme escribo. Perder la fungibilidad de Bitcoin es perderlo todo.

[Shawshank]

Yo lo que digo es que de la misma forma que no compraría un coche robado, tampoco aceptaría bitcoins robados como pago.

¿Y si te obligase en el futuro la policía a devolverlos?

Es mi punto de vista, porque podría acabar pringado o algo, a mi al menos me preocupa.

A poco que el ladrón sea un poco listo, los bitcoins robados no se gastan directamente. Antes se pasarían por un proceso de "mezclado", de forma que la relación con las direcciones originales del robo quedaría muy difuminadas.

A mí lo que más me preocupa es la facilidad con la que circulan billetes de euro con restos de cocaína. ¿Es que el gobierno se va a quedar de brazos cruzados?  
http://www.elmundo.es/elmundo/2006/12/24/espana/1166928254.html

[dserrano5]

A mí lo que más me preocupa es la facilidad con la que circulan billetes de euro con restos de cocaína.

Aahhh, ahora me explico por qué me siento tan bien cuando tengo las manos llenas de billetes!!

[ioxoi]

Krako, siento mucho esta Pu* pero por el volumen y criticidad de los fallos, era cuestión de tiempo, podría ser para extorsionar como así a sido, para incluir un exploit y usar tu web para infectar equipos de tus clientes con troyanos, o para extorsionarlos conociendo sus datos personales y contraseñas, o simplemente como plataforma intermedia para otros ataques, veo que los estas tomado desde el punto de vista positivo y esa es la postura,  aprovecha para montar una tienda aún mejor, más segura y adecuada a los nuevos tiempos.

Ahora estarás planteando cambiar de plataforma, desarrolladores, etc etc, te paso unas pistas interesantes para saber que hacer y a quien no contratar :

1: Rechaza el software a medida, a día de hoy con proyectos libres como Prestashop (existe módulo BTC de bitapay), magento (existe módulo BTC de bitapay), wordpress, drupal o jomla es inventar la rueda y ser menos competitivo no aprovechando miles de horas de desarrollo y depuración de grandes aplicaciones. no digo que no adecues o uses módulos para adaptarlo a tus necesidades pero todos desarrollo a medida es un riesgo.

2: Si montas una tienda física buscas a un experto o te informas en seguridad para montar cámaras, proceso de retirada de efectivo, verjas, pilares anti alunizaje, etc. con la seguridad informática haz lo mismo, asesórate o aprende a usar contraseñas robustas, a no usar aplicaciones de procedencia dudosa, a desisitilar todo lo innecesario, a usar sistemas de autenticación fuerte, actualizar tus servidores y equipos, a diferenciar entre equipos de trabajo y personales, etc.

3: si contratas a un desarrollador, pregúntale por el proyecto OWASP (https://www.owasp.org), y los 10 fallos de seguridad más comunes y como protegerlos (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project), es fácil, pero hay que estudiar un poco, si no te responde de manera rápida y adecuada, cambia de desarrollador sin dudarlo.

4: asume siempre que van a entrar y intentar aplicar tanto técnicas de visibilidad como de doble protección (defensa en profundidad se llama exactamente): integridad de archivos, detectores de intrusiones de HOST, activar las auditorías de los servidores, analizadores de logs , haseado de contraseñas, uso de usuarios no priviligiados, y déjate algún caramelo para saber que tienes un turista, por ejemplo un wallet.dat con la auditoría del sistema activada, si entra alguien va a acceder al archivo y tu sabrás que haya alguien más (vamos como dejar un biellete de 20€ en el cajón de la cocina para la chica de la limpieza)

5:Asume que alguien va a meter la pata y gástate unos cuartos en una auditoría de seguridad, no hace falta que contrates aun hacking ético de decenas de miles de Euros, basta con que un profesional le dedique entre una tarde y 2 días para cerrar las puertas más comunes, pero sobre todo que NO TENGA NADA QUE VER CON EL INSTALADOR/DESARROLLADOR. Los fallos de tu web se detectan en pocos minutos por alguien con experiencia y un entorno de trabajo adecuado y esto no debería costarte más de 2 BTC para una revisión rápida.

Finalmente ánimo y bienvenido al mundo de la paranoia de la seguridad informática.

[luicon]

eso de que las contraseñas no estuviesen hasheadas me ha dejado de piedra, 6000€ por un proyecto donde no se han preocupado siquiera de algo tan básico es casi imperdonable,

siento lo que te ha pasado, normalmente en estos casos se resetean todos los passwords y se les envia un mail a los clientes para que pongan uno nuevo, y se les explica el problema para que tomen medidas en caso de usar el mismo password en otros sitios.

les pasó a los de bitcoin24 y tomaron las medidas correctas

seguramente el tipo no hacia mas que buscar vulnerabilidades conocidas de forma masiva a ver si lograba alguna web que almacenara las claves privadas de bitcoin en el servidor y asi mover los fondos, pero en vista de la falta de éxito, ha optado por la extorsión y de manera bastante codiciosa... si llega a pedir 2 btc ya puede darse con un canto en los dientes

[Anillos2]

Aquí tenéis otro ejemplo, uno que robó mi anterior usuario ahora está intentando estafar a la gente:
https://bitcointalk.org/index.php?topic=292123.0

Es posible que haya pillado la contraseña de algún sitio donde no estuviera cifrada. También es torpeza mía de repetir la contraseña y nombre de usuario.

Yo espero que los administradores cierren esa cuenta o bien me la devuelvan, porque podría estafar a la gente, de hecho ya lo está intentando.

[Krako]

Hola a todos.

Poco a poco vamos recuperando la normalidad. Os vuelvo a dar las gracias una vez más por el apoyo y las palabras de ánimo recibidas.

No puedo estar de acuerdo en que las tiendas y plataformas enlatadas como prestashop, magento, joomla etc etc sean más seguras que los desarrollos personalizados. Solo tenéis que pasaros por freelancers.com.es y comprobar cuantos proyectos hay abiertos para solucionar vulnerabilidades, virus, troyanos, Spam etc etc en estas plataformas... Nosotros mismos jamás habíamos tenido ningún problema conocido hasta ahora y llevamos online desde el año 1999..

Ya aprovecho para precisamente aconsejaros freelancers.com.es para solucionar cualquier problema que podáis tener con vuestra web así como para incluso realizar proyectos completos.

Un saludo

[ioxoi]

Krako, revisa tu razonamiento, fíjate que estas diciendo que es mas fiable ( menos fallos funcionales y de seguridad) en un prototipo a medida que en un producto con miles o millones de instalaciones, evolucion en decenas de versiones  y revisiones entre pares (fíjate que todos son software libre) aplica esto a otros sectores (un coche por ejemplo )y veras que carece de fundamento.
El único pero es que al tener mayor numero de usuarios/instalaciones la presión por los "malos" es mayor y deberás mantener una política de actualizaciones, con software a medida los fallos de seguridad/funcionalidad están esperando a quien se tropiece con ellos o sepa explotarlos.
El resultado es que el software de gran distribución tiene muchos menos fallos pero el impacto de un fallo no corregido es mayor, aunque un buen bastionado lo minimizaría

Si este razonamiento proviene de un desarrollador, se precavido, ya que cuando menos es bastante discutible.

[Krako]

Todo depende de como se hagan las cosas. De sí se hacen bien o se hace una chapuza.
 No digo que sea mejor ni peor. Digo que hay muchísimas vulnerabilidades también con las plataformas enlatadas. Y que no son la panacea.
Tampoco hablo por boca de ningún desarrollador. A mis 45 años tengo un criterio una opinión propias
Pero te agradezco tu aportacion

Un saludo