Binance Apikey Hack

[HartmaniA]

Bu işi yapan adam galiba diğer altları satıp btcye geçtikten sonra viacoine yüklendi. acayip bir artış yaşanmıştı şimdi de başka bir coin %3660 artmış durumda. Bakalım daha neler göreceğiz

[teramit]

Binance gibi bir sistemin nasıl böyle bir açığı var anlam veremiyorum. Resmen piyasayı tek başına domine etmeye başlamak üzereyken her şeylerini kaybedecekler. Artık Binance'ye göre güven sıfır! Benim API açık değildi çok şükür ki zaten 2 gün önce çıkış yapmıştım. Zarar gören arkadaşlara geçmiş olsun.

api key girişlerine ip kısıtlaması getirerek bu durumun önüne geçebilirler, diye düşünüyorum.
normal girişleri farklı bir kanaldan vermeleri veya veriyor olmaları lazım tabi ( incelemedim )
böylelikle başka bir mekandan girişleri engeller.
heee benim sabit ip im yok ama ben bot kullanmak istiyorum diyenlere de bir şey yapmasınlar, hem bot kullanacaksın hemde iki üç kuruşluk sabit ip den kaçacaksan zaten kullanma.

he botun içine kendi kullandığı kodu koyduysa adam zaten ona bişi yapamaz, kodu incelenmemiş bir bot kullananlar düşünsün.
ki şu an gözüken durum o değil gibi gözüküyor.
gözüken konu api key lerini bot denicem diye kaptıranlar olarak gözüküyor.
bot kullanmıyorum ama hacklenmişim diyorsun ya,
zamanında denemişsin api keyini almış adam,
api keyi kaptırmışsın kullanmasanda adam senin yerine kullanıyor durum bu.

he bu durumdan huylanıp api keyini değiştirmemişsin muhtemelen. ( öyle bir ayar koymuşlarmış bilmiyorum tabi incelemedim. )

api ye ip sınırlaması getirmek ne yazık ki sorunu çözmez çünkü korsanlar senin hesabına girip kendisi key oluşturuyor, yani sen sınırlı bir key oluştursan onu silip sana yeni key oluşturuyor onda da sınır olmuyor zaten hesabına key oluşturacak kadar girmişse durum vahim demektir.

[teramit]

Binance ın konu ile ilgili açıklamasını ekliyorum. Kendi sitesinde News kısmında da görebilirsiniz.
Konuda da bahsedildiği gibi, konu BOT değil, pishing diye lanse ediliyor.
Mantıken bot olması imkansız gibi zaten.
Pishing ise eğer, o kadar 2FA yada SMS nasıl aşıldı? Mağdur kullanıcıların bir bölümünde 2FA veya SMS aktif edilmiş durumdaymış.
Sitelerinde umuma açık soru soracak yer yok, gönderdiğim ticketlara da cevap gelmiyor.
Kimseyi panik etmek istemem ama bu iş farklı görünüyor.
~snip

2FA'nın aşılmasına gerek yok. Hackerın elinde api bilgileri varsa nasıl botlar ikinci bir doğrulama işlemi yapmadan trade yapabiliyorsa hacker da aynı şekilde işlem yapabilir. Kodladığı şey "bu api bilgileriyle giriş yap, ne var ne yok btc'ye çevir, o btclerle git şu coini al" demek sadece.

Sistemden çıkan bir coin olduğunu sanmıyorum. Zaten anında kandı withrawal işlemleri. Muhtemelen tespit ettikleri şüpheli 31 hesabın işlemlerini geri çevirip iade etmişlerdir.

Edit: Ama yazarken düşündüm de bu kadar kolay zararı karşılayacağız deyip de olayı kapatmış olmaları enteresan. Kim bilir kaç kullanıcı etkilendi. O kullanıcıları tespit et, zararı hesapla, işlemleri geri çevir falan zor işler. Bu açıdan yaklaşınca "iş farklı görünüyor" fikrinize katılıyorum.

Konu botların kullandığı API anahtarları ile alakalı değil. Phishing saldırısı ile cookie çaldıran kullanıcıların hesaplarında API key oluşturulmuş ve bu API key ile VIA pump yapıldı. Bot kullanmayan kullanıcılarda zarar gördü. Binance önlem aldı. Hacker tayfası paralarını çekemedi ve hatta sahip oldukları VIA miktarına el konuldu. Sanırım binance etkilenen kullanıcılara ödeme yapacak. Etkilenenlere geçmiş olsun.

Sadece kullanıcı adı ve parola bilgisi var ise 2FA'ya takılırlardı. Eğer burayı da atlattılarsa Binance'ın suçu var demektir.

binance örneğinde 2FA aşılmış gibi görünüyor tesla80 nin verdiği linklerde bahsediliyor oltaya geldinmi 2fa şifreni sen girdiğin gibi korsanda giriyor, muhtemel böyle geçtiler 2fa yı ve key oluşturup bu keyi alıp beklemeye geçtiler. Coin çekmek için mail onayı gerekiyor , bir de mail kırmakla uğraşmamak için key ile başka koin almak daha pratik ve kolay bir çözüm burda onu seçmiş korsan ama yine binance nin suçu yok hatta korsanları engellemişler iyi iş çıkarmışlar.

[teramit]

API Keyleri de oluşturmak için 2FA gerekir, orjinal kullanıcı tarafından zaten oluşturulmuş olan API keyleri tekrar görmek için yine 2FA gerekir.
Zira API key oluşturmamış kişilerin de dahil edildiği biliniyor.
Arkadaşlar ben de pozitif bakmak istiyorum, mesela Binance ın buna hemen reaksiyon gösterip hackerların paralarını dondurması çok hoş ama buna da bir kanıt yok.
Ortada bir yazı dışında hiç bir kanıt yok, olan kullanıcılara oluyor, borsa bir açıklama yapıyor insanlar da inanıyor.
Yazıda anlatılanlar ile ilgili kanıt gösterdiler mi?
Yarın bir olay daha olursa yine pishing diyecekler. Pishing ile 2FA yı yada SMS i aşıyolar. Burada bir açık olduğu bariz belli gibi görünüyor, çünkü Google Authenticator ı başka telefona sonradan kuramazsınız.

Binance ın korsan saldırı sonucu açıklama yapması durumunda elbette güvenmek durumundayız ama şöyle düşünün hangi borsa durduk yere korsan saldırı yedik derki , burada adamlar saldırıyı da etkisiz hale getiriyorlar ekstra olarak güvenlik önlemi alıp durumu farketmişler. Dolayısıyla durduk yere kendi sularını bulandırmak istemezler ve bu durumda yalan söyleyerek bir başka şeyi örtüyor olamazlar zaten giden birşey yok.
Binance teki açıkla ilgili bir sıkıntı varsa bunu düzeltmek onların görevi ama kabul etmedilerse birşey diyemem konunun bir uzman tarafından değerlendirilmesi gekir. Genelde bakıyoruz hep kullanıcı tarafında sıkıntı var, sitede sıkıntı yok mu  mükemmeller mi bilmiyorum ama güvenlik konusunda üyelerinden çok daha önde oldukları bir gerçek.
Borsa kullanmanın hem hesap bilgisini çaldırmak hemde borsanın hacklenmesi gibi riskleri içerdiğini unutmamak lazım.

[tesla80]

binance örneğinde 2FA aşılmış gibi görünüyor tesla80 nin verdiği linklerde bahsediliyor oltaya geldinmi 2fa şifreni sen girdiğin gibi korsanda giriyor, muhtemel böyle geçtiler 2fa yı ve key oluşturup bu keyi alıp beklemeye geçtiler. Coin çekmek için mail onayı gerekiyor , bir de mail kırmakla uğraşmamak için key ile başka koin almak daha pratik ve kolay bir çözüm burda onu seçmiş korsan ama yine binance nin suçu yok hatta korsanları engellemişler iyi iş çıkarmışlar.

Hocam burada gözünüzden kaçar birşey var, adım adım gidelim.
Borsa şifrenizi, mailinizi hacklediler, herşeyi biliyorlar. Sadece 2FA yı bilmiyorlar diyelim.
1 - Kullanıcı borsaya girerken, keylogger sayesinde hacker da 2FA yı geçip borsaya login olabilir.
Sonrasında isterse al sat işlemleri yapar ama withdraw yada API key işlemi yapamaz.
2 - Hacker withdraw yapmak istiyor ama kullanıcı bu menüye gitmeyecektir, hacker ın 2FA yı geçme şansı yok. Orada bir 2FA sorulacak ve hacker da bu yok.
3 - Hacker API key oluşturmak istiyor ama kullanıcının bu kısımla işi yok, yine API key oluşturmak için 2FA sorulacak ve hacker da bu yok.
4 - Hacker mevcut API key in secret şifresini öğrenmek istiyor, göster butonuna tıkladığında yine 2FA sorulacak ve hacker da bu yok.

Yani hacker ancak ve ancak kullanıcı ile birlikte login olabilir, sonrasında 2FA açıksa API key yada Withdraw işlemi gerçekleştiremez.

Bu da gösteriyor ki Binance ın sisteminde açık var ve binlerce kişinin 2FA sı aşılmış. Bunu hiç bir pishing mantığı ile yapamazlar, zira bir pishing sitesi 2FA Phrase i bilmiyor ki, kullanıcıya 2FA sordursun. Phrase i de Binance da görüntüleyen kısım yok. Bir defa 2FA aktif edilirken görüntüleniyor, sonrasında bu yok.

Benim arkadaşımın parasını daha yeni çaldılar, hacker Binance a login olmuş ve 2 defa withdraw yapmış, tam 2 tane. Bunu yapması için 2 defa 2FA yı geçmiş olmalı. Bu ise 2FA Phrase i ele geçirmekle ancak mümkün olabilir. O halde yine görüyoruz ki Binance ın kendi sisteminde açık olmalı.

Şu an gördüğüm ise, bunu ispatlamama rağmen Binance herşeyi reddediyor, kancık gibi kıvırıyor. Arkadaşımızın parasının çalınmasında onların da suçu var ve bunu kabul etmiyorlar. Artık cevap bile vermiyorlar.
Kısacası bu borsalara üye olurken çok hoş güzel ama başınıza birşey geldiğinde yalnız kalıyorsunuz. Şu an Binance ın yaptığı sadece tribünlere oynamaktan ibaret. Kendi görüp yaşadığım olayda aslında nasıl kıvırdıklarını anladım. Binance defalarca hacklenmiş bir site, çoğunu da kabul etmediler kıvırdılar.
Binance a kızıp güvenlik açığını internete versem onlarca kişinin parası heba olacak, ona da gönlüm el vermez. Bugün kontrol ettim açık hala duruyor, çözecekler diye umut etmiştim ama duruyor!

[longthu]

Arkadaşına geçmiş olsun borsada çok para tutmanın yanlış olduğunu defalarca gördüm. Paranın çalınması durumunda yapılacak fazla bir şey kalmıyor. Ledger ve uzun vadeli yatırım en uygun seçenek.

[yavuz]

bu tecrübeyle insanlar api keylerini aptal saptal bot'lara vermemeyi öğrenmişlerdir inşallah.

[teramit]

bu tecrübeyle insanlar api keylerini aptal saptal bot'lara vermemeyi öğrenmişlerdir inşallah.

konunun botlarla alakası yok, korsan apikeyi hiç o işe bulaşmayan insanların hesaplarında oluşturmuş sadece withdraw yapmak zor olduğundan trading yöntemiyle dolandırmaya çalışmış, herhangi bot yüzünden yaşanmamış olay phishing ile gerçekleşmiş

[btcboom75]

btc kayıpları telefi ederek zarara uğrayan kişilerin açığını kapattı fakat bukadar büyüyen ve güven sağlamaya başlayan btc nasıl böyle bir hataya düştü burda alt yapıda bir zayıflıkmı var acaba demedende geçemiyorum

[sealofsun]

Anladığım kadarıyla kimseden çalınan bişeyler yok. Botlar hacklenmiş veya içindeki kötü yanı ortaya çıkartmışlar. Hacker elinde tuttuğu coini botlar sayesinde pumplayıp yüksekten tekrar botlara satmış. Doğru mu?

[by rallier]

binance örneğinde 2FA aşılmış gibi görünüyor tesla80 nin verdiği linklerde bahsediliyor oltaya geldinmi 2fa şifreni sen girdiğin gibi korsanda giriyor, muhtemel böyle geçtiler 2fa yı ve key oluşturup bu keyi alıp beklemeye geçtiler. Coin çekmek için mail onayı gerekiyor , bir de mail kırmakla uğraşmamak için key ile başka koin almak daha pratik ve kolay bir çözüm burda onu seçmiş korsan ama yine binance nin suçu yok hatta korsanları engellemişler iyi iş çıkarmışlar.

Hocam burada gözünüzden kaçar birşey var, adım adım gidelim.
Borsa şifrenizi, mailinizi hacklediler, herşeyi biliyorlar. Sadece 2FA yı bilmiyorlar diyelim.
1 - Kullanıcı borsaya girerken, keylogger sayesinde hacker da 2FA yı geçip borsaya login olabilir.
Sonrasında isterse al sat işlemleri yapar ama withdraw yada API key işlemi yapamaz.
2 - Hacker withdraw yapmak istiyor ama kullanıcı bu menüye gitmeyecektir, hacker ın 2FA yı geçme şansı yok. Orada bir 2FA sorulacak ve hacker da bu yok.
3 - Hacker API key oluşturmak istiyor ama kullanıcının bu kısımla işi yok, yine API key oluşturmak için 2FA sorulacak ve hacker da bu yok.
4 - Hacker mevcut API key in secret şifresini öğrenmek istiyor, göster butonuna tıkladığında yine 2FA sorulacak ve hacker da bu yok.

Yani hacker ancak ve ancak kullanıcı ile birlikte login olabilir, sonrasında 2FA açıksa API key yada Withdraw işlemi gerçekleştiremez.

Bu da gösteriyor ki Binance ın sisteminde açık var ve binlerce kişinin 2FA sı aşılmış. Bunu hiç bir pishing mantığı ile yapamazlar, zira bir pishing sitesi 2FA Phrase i bilmiyor ki, kullanıcıya 2FA sordursun. Phrase i de Binance da görüntüleyen kısım yok. Bir defa 2FA aktif edilirken görüntüleniyor, sonrasında bu yok.

Benim arkadaşımın parasını daha yeni çaldılar, hacker Binance a login olmuş ve 2 defa withdraw yapmış, tam 2 tane. Bunu yapması için 2 defa 2FA yı geçmiş olmalı. Bu ise 2FA Phrase i ele geçirmekle ancak mümkün olabilir. O halde yine görüyoruz ki Binance ın kendi sisteminde açık olmalı.

Şu an gördüğüm ise, bunu ispatlamama rağmen Binance herşeyi reddediyor, kancık gibi kıvırıyor. Arkadaşımızın parasının çalınmasında onların da suçu var ve bunu kabul etmiyorlar. Artık cevap bile vermiyorlar.
Kısacası bu borsalara üye olurken çok hoş güzel ama başınıza birşey geldiğinde yalnız kalıyorsunuz. Şu an Binance ın yaptığı sadece tribünlere oynamaktan ibaret. Kendi görüp yaşadığım olayda aslında nasıl kıvırdıklarını anladım. Binance defalarca hacklenmiş bir site, çoğunu da kabul etmediler kıvırdılar.
Binance a kızıp güvenlik açığını internete versem onlarca kişinin parası heba olacak, ona da gönlüm el vermez. Bugün kontrol ettim açık hala duruyor, çözecekler diye umut etmiştim ama duruyor!

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.

[entegre78]

API Keyleri de oluşturmak için 2FA gerekir, orjinal kullanıcı tarafından zaten oluşturulmuş olan API keyleri tekrar görmek için yine 2FA gerekir.
Zira API key oluşturmamış kişilerin de dahil edildiği biliniyor.
Arkadaşlar ben de pozitif bakmak istiyorum, mesela Binance ın buna hemen reaksiyon gösterip hackerların paralarını dondurması çok hoş ama buna da bir kanıt yok.
Ortada bir yazı dışında hiç bir kanıt yok, olan kullanıcılara oluyor, borsa bir açıklama yapıyor insanlar da inanıyor.
Yazıda anlatılanlar ile ilgili kanıt gösterdiler mi?
Yarın bir olay daha olursa yine pishing diyecekler. Pishing ile 2FA yı yada SMS i aşıyolar. Burada bir açık olduğu bariz belli gibi görünüyor, çünkü Google Authenticator ı başka telefona sonradan kuramazsınız.

hocam sen hiç birşey bilmiyorsun ya sistemler hakkında
sadece zırvalamışsın
git bari biraz oku öğren
api key ile 2fa nin ne alakası var, biri giriş bileti, diğeri tek kullanımlık şifre üreten bişi
ya sistem hakkında hiç bilgin yoksa yazma kardeşim, bilgisiz olduğun ortaya çıkıyor

[entegre78]

Binance gibi bir sistemin nasıl böyle bir açığı var anlam veremiyorum. Resmen piyasayı tek başına domine etmeye başlamak üzereyken her şeylerini kaybedecekler. Artık Binance'ye göre güven sıfır! Benim API açık değildi çok şükür ki zaten 2 gün önce çıkış yapmıştım. Zarar gören arkadaşlara geçmiş olsun.

api key girişlerine ip kısıtlaması getirerek bu durumun önüne geçebilirler, diye düşünüyorum.
normal girişleri farklı bir kanaldan vermeleri veya veriyor olmaları lazım tabi ( incelemedim )
böylelikle başka bir mekandan girişleri engeller.
heee benim sabit ip im yok ama ben bot kullanmak istiyorum diyenlere de bir şey yapmasınlar, hem bot kullanacaksın hemde iki üç kuruşluk sabit ip den kaçacaksan zaten kullanma.

he botun içine kendi kullandığı kodu koyduysa adam zaten ona bişi yapamaz, kodu incelenmemiş bir bot kullananlar düşünsün.
ki şu an gözüken durum o değil gibi gözüküyor.
gözüken konu api key lerini bot denicem diye kaptıranlar olarak gözüküyor.
bot kullanmıyorum ama hacklenmişim diyorsun ya,
zamanında denemişsin api keyini almış adam,
api keyi kaptırmışsın kullanmasanda adam senin yerine kullanıyor durum bu.

he bu durumdan huylanıp api keyini değiştirmemişsin muhtemelen. ( öyle bir ayar koymuşlarmış bilmiyorum tabi incelemedim. )

api ye ip sınırlaması getirmek ne yazık ki sorunu çözmez çünkü korsanlar senin hesabına girip kendisi key oluşturuyor, yani sen sınırlı bir key oluştursan onu silip sana yeni key oluşturuyor onda da sınır olmuyor zaten hesabına key oluşturacak kadar girmişse durum vahim demektir.

abicim api key leri bot denicem diye insanlar veriyor zaten
api key ile giriş yapıp yeni api key oluşturamazsın
api key ile tüm işlemleri yapabilse idin ( özellikle kullanıcı ayarları , yeni api key oluşturma vb.. )  niye api key oluşturmakla uğraşsın, direkt kullanıcı bilgilerini verirdi
ya kardeşim bi bok bilmeden yazıp duruyorsunuz
git bi öğrende gel öyle konuş ya

[entegre78]

Anladığım kadarıyla kimseden çalınan bişeyler yok. Botlar hacklenmiş veya içindeki kötü yanı ortaya çıkartmışlar. Hacker elinde tuttuğu coini botlar sayesinde pumplayıp yüksekten tekrar botlara satmış. Doğru mu?

botlar içine gizlenmiş bir kodun çalışması olarak gözükmüyor
daha çok botlar sayesinde elde edilmiş api key leri kullanıp kendi botları ile pump yapıp yukardan satışa koydukları via ları aldırmış.
milletin api key lerini kullandıkları için onların hesaplarını kullanmış oluyorlar

çünkü bot kullanmıyorum diyen kullanıcıların hesaplarında da hareket olmuş
muhtemelen daha önce bot denemesi yapan kullanıcı api keyini kaptırmış

bot deneyecekseniz açık kaynak kodlu botları deneyin
onlarda bir sorun tespit edilirse api key çalma girişimi veya kötü niyetli kodlar, yazıyor insanlar kullanmayın diye

[Compact_Racer_729]

Ya ben bu insanları anlamıyorum, herkes direk önüne gelene api key veriyor, ya api key vermek bu kadar kolay olmamalı,

[tesla80]

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.

Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

[entegre78]

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.

Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

ya git bir bak api key niçin oluşturulur.
öfff ya
mal mal konuşmalar
sen daha api key in bir kimlik olduğunun , 2fa nin tek kullanımlık bir şifre olduğunun bile farkında olmadan yazıp duruyon ya
yavrucum sen daha portakal iken ben yazılım şifrelerini kırıyordum. mahkemelik olduğum bile oldu.
onun için hadi canım git öğren biraz ya. kötü birşey demiyorum öğren iyilik ediyorum sana.

[Lethapudi]

Bu olay neden hiçbir zaman 3. parti yazılımları kullanmamız gerektiğinin kanıtıdır, özellikle insanlar nasıl oluyorda açık kaynak kodlu olmayan yazılımlarına paralarını emanet ediyor anlamak mümkün değil.

[ogul]

sitelere girerken biraz daha dikkatli olmamız gerekiyor oyle her gelen siteye inanıp hemen dalmamak gerekir birde kullandığınız programlar ne kadar güvenli onu bilmek gerekir.

[by rallier]

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.

Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

Uslubum için özür dilerim haklısın böyle davranmamalıydım bazen insanların bir konuya vakıf olmadan yorum yaptıklarını görünce bi yere kadar sabredebiliyor, patlamam sana denk geldi. ayrıca benim yaptığım saygısızlığa sende keko diyerek dahil olmuşsun, keşke sende aynı tavırla girmeseydin olaya daha fazla pişman olabilirdim
Burada bi üçkagit döndüğü kesin, güvenlik açiğimizda yok diyorlar, phishing var diyorlar. bilmiyorum eldeki veriler yorumlamak için yeterli değil.
google android app i kullananlarda otomatik API oluşturulduğu da söylentiler arasında vs vs. sonuç olarak borsalarda para bırakmamalyz. söylentiler manipülasyon amaçlı bile binance tarafından kurgulanmş olabilir, kmse hacklenmemş olabilir. cevremizde cebinden para çıkan var mı   ? yok. herkes twitter da reddit te okudu ve buralarda fake hesaplar açip söylenti yapmak çok zor değil yarım milyon dolar cukkalamak için 10 bin dolar harcayarak binlerce açabilirsiniz.