Bitcoin Forum
March 29, 2024, 06:03:05 AM *
News: Latest Bitcoin Core release: 26.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 [2] 3 »  All
  Print  
Author Topic: Binance Apikey Hack  (Read 465 times)
This is a self-moderated topic. If you do not want to be moderated by the person who started this topic, create a new topic.
HartmaniA
Hero Member
*****
Offline Offline

Activity: 953
Merit: 504


View Profile
March 08, 2018, 04:50:23 PM
 #21

Bu işi yapan adam galiba diğer altları satıp btcye geçtikten sonra viacoine yüklendi. acayip bir artış yaşanmıştı şimdi de başka bir coin %3660 artmış durumda. Bakalım daha neler göreceğiz
1711692185
Hero Member
*
Offline Offline

Posts: 1711692185

View Profile Personal Message (Offline)

Ignore
1711692185
Reply with quote  #2

1711692185
Report to moderator
Activity + Trust + Earned Merit == The Most Recognized Users on Bitcointalk
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
teramit (OP)
Legendary
*
Offline Offline

Activity: 1863
Merit: 1386

The Last Cryptocoin Burner


View Profile
March 09, 2018, 12:59:34 AM
 #22

Binance gibi bir sistemin nasıl böyle bir açığı var anlam veremiyorum. Resmen piyasayı tek başına domine etmeye başlamak üzereyken her şeylerini kaybedecekler. Artık Binance'ye göre güven sıfır! Benim API açık değildi çok şükür ki zaten 2 gün önce çıkış yapmıştım. Zarar gören arkadaşlara geçmiş olsun.
api key girişlerine ip kısıtlaması getirerek bu durumun önüne geçebilirler, diye düşünüyorum.
normal girişleri farklı bir kanaldan vermeleri veya veriyor olmaları lazım tabi ( incelemedim )
böylelikle başka bir mekandan girişleri engeller.
heee benim sabit ip im yok ama ben bot kullanmak istiyorum diyenlere de bir şey yapmasınlar, hem bot kullanacaksın hemde iki üç kuruşluk sabit ip den kaçacaksan zaten kullanma.

he botun içine kendi kullandığı kodu koyduysa adam zaten ona bişi yapamaz, kodu incelenmemiş bir bot kullananlar düşünsün.
ki şu an gözüken durum o değil gibi gözüküyor.
gözüken konu api key lerini bot denicem diye kaptıranlar olarak gözüküyor.
bot kullanmıyorum ama hacklenmişim diyorsun ya,
zamanında denemişsin api keyini almış adam,
api keyi kaptırmışsın kullanmasanda adam senin yerine kullanıyor durum bu.

he bu durumdan huylanıp api keyini değiştirmemişsin muhtemelen. ( öyle bir ayar koymuşlarmış bilmiyorum tabi incelemedim. )
api ye ip sınırlaması getirmek ne yazık ki sorunu çözmez çünkü korsanlar senin hesabına girip kendisi key oluşturuyor, yani sen sınırlı bir key oluştursan onu silip sana yeni key oluşturuyor onda da sınır olmuyor zaten hesabına key oluşturacak kadar girmişse durum vahim demektir.
teramit (OP)
Legendary
*
Offline Offline

Activity: 1863
Merit: 1386

The Last Cryptocoin Burner


View Profile
March 09, 2018, 01:05:30 AM
 #23

Binance ın konu ile ilgili açıklamasını ekliyorum. Kendi sitesinde News kısmında da görebilirsiniz.
Konuda da bahsedildiği gibi, konu BOT değil, pishing diye lanse ediliyor.
Mantıken bot olması imkansız gibi zaten.
Pishing ise eğer, o kadar 2FA yada SMS nasıl aşıldı? Mağdur kullanıcıların bir bölümünde 2FA veya SMS aktif edilmiş durumdaymış.
Sitelerinde umuma açık soru soracak yer yok, gönderdiğim ticketlara da cevap gelmiyor.
Kimseyi panik etmek istemem ama bu iş farklı görünüyor.
~snip

2FA'nın aşılmasına gerek yok. Hackerın elinde api bilgileri varsa nasıl botlar ikinci bir doğrulama işlemi yapmadan trade yapabiliyorsa hacker da aynı şekilde işlem yapabilir. Kodladığı şey "bu api bilgileriyle giriş yap, ne var ne yok btc'ye çevir, o btclerle git şu coini al" demek sadece.

Sistemden çıkan bir coin olduğunu sanmıyorum. Zaten anında kandı withrawal işlemleri. Muhtemelen tespit ettikleri şüpheli 31 hesabın işlemlerini geri çevirip iade etmişlerdir.

Edit: Ama yazarken düşündüm de bu kadar kolay zararı karşılayacağız deyip de olayı kapatmış olmaları enteresan. Kim bilir kaç kullanıcı etkilendi. O kullanıcıları tespit et, zararı hesapla, işlemleri geri çevir falan zor işler. Bu açıdan yaklaşınca "iş farklı görünüyor" fikrinize katılıyorum.

Konu botların kullandığı API anahtarları ile alakalı değil. Phishing saldırısı ile cookie çaldıran kullanıcıların hesaplarında API key oluşturulmuş ve bu API key ile VIA pump yapıldı. Bot kullanmayan kullanıcılarda zarar gördü. Binance önlem aldı. Hacker tayfası paralarını çekemedi ve hatta sahip oldukları VIA miktarına el konuldu. Sanırım binance etkilenen kullanıcılara ödeme yapacak. Etkilenenlere geçmiş olsun.

Sadece kullanıcı adı ve parola bilgisi var ise 2FA'ya takılırlardı. Eğer burayı da atlattılarsa Binance'ın suçu var demektir.

binance örneğinde 2FA aşılmış gibi görünüyor tesla80 nin verdiği linklerde bahsediliyor oltaya geldinmi 2fa şifreni sen girdiğin gibi korsanda giriyor, muhtemel böyle geçtiler 2fa yı ve key oluşturup bu keyi alıp beklemeye geçtiler. Coin çekmek için mail onayı gerekiyor , bir de mail kırmakla uğraşmamak için key ile başka koin almak daha pratik ve kolay bir çözüm burda onu seçmiş korsan ama yine binance nin suçu yok hatta korsanları engellemişler iyi iş çıkarmışlar.
teramit (OP)
Legendary
*
Offline Offline

Activity: 1863
Merit: 1386

The Last Cryptocoin Burner


View Profile
March 09, 2018, 01:12:41 AM
 #24

API Keyleri de oluşturmak için 2FA gerekir, orjinal kullanıcı tarafından zaten oluşturulmuş olan API keyleri tekrar görmek için yine 2FA gerekir.
Zira API key oluşturmamış kişilerin de dahil edildiği biliniyor.
Arkadaşlar ben de pozitif bakmak istiyorum, mesela Binance ın buna hemen reaksiyon gösterip hackerların paralarını dondurması çok hoş ama buna da bir kanıt yok.
Ortada bir yazı dışında hiç bir kanıt yok, olan kullanıcılara oluyor, borsa bir açıklama yapıyor insanlar da inanıyor.
Yazıda anlatılanlar ile ilgili kanıt gösterdiler mi?
Yarın bir olay daha olursa yine pishing diyecekler. Pishing ile 2FA yı yada SMS i aşıyolar. Burada bir açık olduğu bariz belli gibi görünüyor, çünkü Google Authenticator ı başka telefona sonradan kuramazsınız.

Binance ın korsan saldırı sonucu açıklama yapması durumunda elbette güvenmek durumundayız ama şöyle düşünün hangi borsa durduk yere korsan saldırı yedik derki , burada adamlar saldırıyı da etkisiz hale getiriyorlar ekstra olarak güvenlik önlemi alıp durumu farketmişler. Dolayısıyla durduk yere kendi sularını bulandırmak istemezler ve bu durumda yalan söyleyerek bir başka şeyi örtüyor olamazlar zaten giden birşey yok.
Binance teki açıkla ilgili bir sıkıntı varsa bunu düzeltmek onların görevi ama kabul etmedilerse birşey diyemem konunun bir uzman tarafından değerlendirilmesi gekir. Genelde bakıyoruz hep kullanıcı tarafında sıkıntı var, sitede sıkıntı yok mu  mükemmeller mi bilmiyorum ama güvenlik konusunda üyelerinden çok daha önde oldukları bir gerçek.
Borsa kullanmanın hem hesap bilgisini çaldırmak hemde borsanın hacklenmesi gibi riskleri içerdiğini unutmamak lazım.
tesla80
Member
**
Offline Offline

Activity: 448
Merit: 89

Full Stack Engineer


View Profile
March 09, 2018, 10:46:04 AM
Merited by MorpheWQ (1)
 #25

binance örneğinde 2FA aşılmış gibi görünüyor tesla80 nin verdiği linklerde bahsediliyor oltaya geldinmi 2fa şifreni sen girdiğin gibi korsanda giriyor, muhtemel böyle geçtiler 2fa yı ve key oluşturup bu keyi alıp beklemeye geçtiler. Coin çekmek için mail onayı gerekiyor , bir de mail kırmakla uğraşmamak için key ile başka koin almak daha pratik ve kolay bir çözüm burda onu seçmiş korsan ama yine binance nin suçu yok hatta korsanları engellemişler iyi iş çıkarmışlar.
Hocam burada gözünüzden kaçar birşey var, adım adım gidelim.
Borsa şifrenizi, mailinizi hacklediler, herşeyi biliyorlar. Sadece 2FA yı bilmiyorlar diyelim.
1 - Kullanıcı borsaya girerken, keylogger sayesinde hacker da 2FA yı geçip borsaya login olabilir.
Sonrasında isterse al sat işlemleri yapar ama withdraw yada API key işlemi yapamaz.
2 - Hacker withdraw yapmak istiyor ama kullanıcı bu menüye gitmeyecektir, hacker ın 2FA yı geçme şansı yok. Orada bir 2FA sorulacak ve hacker da bu yok.
3 - Hacker API key oluşturmak istiyor ama kullanıcının bu kısımla işi yok, yine API key oluşturmak için 2FA sorulacak ve hacker da bu yok.
4 - Hacker mevcut API key in secret şifresini öğrenmek istiyor, göster butonuna tıkladığında yine 2FA sorulacak ve hacker da bu yok.

Yani hacker ancak ve ancak kullanıcı ile birlikte login olabilir, sonrasında 2FA açıksa API key yada Withdraw işlemi gerçekleştiremez.

Bu da gösteriyor ki Binance ın sisteminde açık var ve binlerce kişinin 2FA sı aşılmış. Bunu hiç bir pishing mantığı ile yapamazlar, zira bir pishing sitesi 2FA Phrase i bilmiyor ki, kullanıcıya 2FA sordursun. Phrase i de Binance da görüntüleyen kısım yok. Bir defa 2FA aktif edilirken görüntüleniyor, sonrasında bu yok.

Benim arkadaşımın parasını daha yeni çaldılar, hacker Binance a login olmuş ve 2 defa withdraw yapmış, tam 2 tane. Bunu yapması için 2 defa 2FA yı geçmiş olmalı. Bu ise 2FA Phrase i ele geçirmekle ancak mümkün olabilir. O halde yine görüyoruz ki Binance ın kendi sisteminde açık olmalı.

Şu an gördüğüm ise, bunu ispatlamama rağmen Binance herşeyi reddediyor, kancık gibi kıvırıyor. Arkadaşımızın parasının çalınmasında onların da suçu var ve bunu kabul etmiyorlar. Artık cevap bile vermiyorlar.
Kısacası bu borsalara üye olurken çok hoş güzel ama başınıza birşey geldiğinde yalnız kalıyorsunuz. Şu an Binance ın yaptığı sadece tribünlere oynamaktan ibaret. Kendi görüp yaşadığım olayda aslında nasıl kıvırdıklarını anladım. Binance defalarca hacklenmiş bir site, çoğunu da kabul etmediler kıvırdılar.
Binance a kızıp güvenlik açığını internete versem onlarca kişinin parası heba olacak, ona da gönlüm el vermez. Bugün kontrol ettim açık hala duruyor, çözecekler diye umut etmiştim ama duruyor!

Cyber Security, Mobile Security, Web/Desktop/Embedded Programming, Electronics, M2M, IoT
longthu
Hero Member
*****
Offline Offline

Activity: 728
Merit: 500


MenaPay - Crypto made easier than cash


View Profile WWW
March 09, 2018, 12:03:39 PM
 #26

Arkadaşına geçmiş olsun borsada çok para tutmanın yanlış olduğunu defalarca gördüm. Paranın çalınması durumunda yapılacak fazla bir şey kalmıyor. Ledger ve uzun vadeli yatırım en uygun seçenek.

_Crypto made easier than cash_
▄███▄              ▄███▄
███████            ███████
███████   ▄████▄   ███████
███████  ████████  ███████
▄██████████  ████████  ██████████▄
████████████  ████████  ████████████
████████████  ████████  ████████████
▀██████████  ████████  ██████████▀
███████  ████████  ███████
███████  ████████  ███████
███████  ████████  ███████
▀███▀   ████████   ▀███▀
████████
▀████▀
MenaPay.
ANN THREAD
__
yavuz
Jr. Member
*
Offline Offline

Activity: 210
Merit: 6


View Profile
March 10, 2018, 06:46:17 AM
 #27

bu tecrübeyle insanlar api keylerini aptal saptal bot'lara vermemeyi öğrenmişlerdir inşallah.
teramit (OP)
Legendary
*
Offline Offline

Activity: 1863
Merit: 1386

The Last Cryptocoin Burner


View Profile
March 10, 2018, 02:32:29 PM
 #28

bu tecrübeyle insanlar api keylerini aptal saptal bot'lara vermemeyi öğrenmişlerdir inşallah.

konunun botlarla alakası yok, korsan apikeyi hiç o işe bulaşmayan insanların hesaplarında oluşturmuş sadece withdraw yapmak zor olduğundan trading yöntemiyle dolandırmaya çalışmış, herhangi bot yüzünden yaşanmamış olay phishing ile gerçekleşmiş
btcboom75
Jr. Member
*
Offline Offline

Activity: 56
Merit: 10


View Profile
March 10, 2018, 02:50:26 PM
 #29

btc kayıpları telefi ederek zarara uğrayan kişilerin açığını kapattı fakat bukadar büyüyen ve güven sağlamaya başlayan btc nasıl böyle bir hataya düştü burda alt yapıda bir zayıflıkmı var acaba demedende geçemiyorum

⋌┤┃ KEPLER : BRINGING AI & ROBITICS TO THE BLOCKCHAIN : KEPLER┃├⋋
▬▬▬ NEW ERA OF TECHNOLOGIES KEPLER ▬▬▬ (http://keplertek.org/#)
[
sealofsun
Sr. Member
****
Offline Offline

Activity: 420
Merit: 250


View Profile
March 10, 2018, 07:55:24 PM
 #30

Anladığım kadarıyla kimseden çalınan bişeyler yok. Botlar hacklenmiş veya içindeki kötü yanı ortaya çıkartmışlar. Hacker elinde tuttuğu coini botlar sayesinde pumplayıp yüksekten tekrar botlara satmış. Doğru mu?
by rallier
Legendary
*
Offline Offline

Activity: 1848
Merit: 1334


just in case


View Profile WWW
March 12, 2018, 03:36:52 PM
 #31

binance örneğinde 2FA aşılmış gibi görünüyor tesla80 nin verdiği linklerde bahsediliyor oltaya geldinmi 2fa şifreni sen girdiğin gibi korsanda giriyor, muhtemel böyle geçtiler 2fa yı ve key oluşturup bu keyi alıp beklemeye geçtiler. Coin çekmek için mail onayı gerekiyor , bir de mail kırmakla uğraşmamak için key ile başka koin almak daha pratik ve kolay bir çözüm burda onu seçmiş korsan ama yine binance nin suçu yok hatta korsanları engellemişler iyi iş çıkarmışlar.
Hocam burada gözünüzden kaçar birşey var, adım adım gidelim.
Borsa şifrenizi, mailinizi hacklediler, herşeyi biliyorlar. Sadece 2FA yı bilmiyorlar diyelim.
1 - Kullanıcı borsaya girerken, keylogger sayesinde hacker da 2FA yı geçip borsaya login olabilir.
Sonrasında isterse al sat işlemleri yapar ama withdraw yada API key işlemi yapamaz.
2 - Hacker withdraw yapmak istiyor ama kullanıcı bu menüye gitmeyecektir, hacker ın 2FA yı geçme şansı yok. Orada bir 2FA sorulacak ve hacker da bu yok.
3 - Hacker API key oluşturmak istiyor ama kullanıcının bu kısımla işi yok, yine API key oluşturmak için 2FA sorulacak ve hacker da bu yok.
4 - Hacker mevcut API key in secret şifresini öğrenmek istiyor, göster butonuna tıkladığında yine 2FA sorulacak ve hacker da bu yok.

Yani hacker ancak ve ancak kullanıcı ile birlikte login olabilir, sonrasında 2FA açıksa API key yada Withdraw işlemi gerçekleştiremez.

Bu da gösteriyor ki Binance ın sisteminde açık var ve binlerce kişinin 2FA sı aşılmış. Bunu hiç bir pishing mantığı ile yapamazlar, zira bir pishing sitesi 2FA Phrase i bilmiyor ki, kullanıcıya 2FA sordursun. Phrase i de Binance da görüntüleyen kısım yok. Bir defa 2FA aktif edilirken görüntüleniyor, sonrasında bu yok.

Benim arkadaşımın parasını daha yeni çaldılar, hacker Binance a login olmuş ve 2 defa withdraw yapmış, tam 2 tane. Bunu yapması için 2 defa 2FA yı geçmiş olmalı. Bu ise 2FA Phrase i ele geçirmekle ancak mümkün olabilir. O halde yine görüyoruz ki Binance ın kendi sisteminde açık olmalı.

Şu an gördüğüm ise, bunu ispatlamama rağmen Binance herşeyi reddediyor, kancık gibi kıvırıyor. Arkadaşımızın parasının çalınmasında onların da suçu var ve bunu kabul etmiyorlar. Artık cevap bile vermiyorlar.
Kısacası bu borsalara üye olurken çok hoş güzel ama başınıza birşey geldiğinde yalnız kalıyorsunuz. Şu an Binance ın yaptığı sadece tribünlere oynamaktan ibaret. Kendi görüp yaşadığım olayda aslında nasıl kıvırdıklarını anladım. Binance defalarca hacklenmiş bir site, çoğunu da kabul etmediler kıvırdılar.
Binance a kızıp güvenlik açığını internete versem onlarca kişinin parası heba olacak, ona da gönlüm el vermez. Bugün kontrol ettim açık hala duruyor, çözecekler diye umut etmiştim ama duruyor!


üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin Smiley
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor Smiley
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.

signature not found.
entegre78
Jr. Member
*
Offline Offline

Activity: 196
Merit: 5


View Profile WWW
March 12, 2018, 04:32:24 PM
 #32

API Keyleri de oluşturmak için 2FA gerekir, orjinal kullanıcı tarafından zaten oluşturulmuş olan API keyleri tekrar görmek için yine 2FA gerekir.
Zira API key oluşturmamış kişilerin de dahil edildiği biliniyor.
Arkadaşlar ben de pozitif bakmak istiyorum, mesela Binance ın buna hemen reaksiyon gösterip hackerların paralarını dondurması çok hoş ama buna da bir kanıt yok.
Ortada bir yazı dışında hiç bir kanıt yok, olan kullanıcılara oluyor, borsa bir açıklama yapıyor insanlar da inanıyor.
Yazıda anlatılanlar ile ilgili kanıt gösterdiler mi?
Yarın bir olay daha olursa yine pishing diyecekler. Pishing ile 2FA yı yada SMS i aşıyolar. Burada bir açık olduğu bariz belli gibi görünüyor, çünkü Google Authenticator ı başka telefona sonradan kuramazsınız.
hocam sen hiç birşey bilmiyorsun ya sistemler hakkında
sadece zırvalamışsın
git bari biraz oku öğren
api key ile 2fa nin ne alakası var, biri giriş bileti, diğeri tek kullanımlık şifre üreten bişi
ya sistem hakkında hiç bilgin yoksa yazma kardeşim, bilgisiz olduğun ortaya çıkıyor

www.livecoinprice.tk       www.gamebegin.tk
entegre78
Jr. Member
*
Offline Offline

Activity: 196
Merit: 5


View Profile WWW
March 12, 2018, 04:38:39 PM
 #33

Binance gibi bir sistemin nasıl böyle bir açığı var anlam veremiyorum. Resmen piyasayı tek başına domine etmeye başlamak üzereyken her şeylerini kaybedecekler. Artık Binance'ye göre güven sıfır! Benim API açık değildi çok şükür ki zaten 2 gün önce çıkış yapmıştım. Zarar gören arkadaşlara geçmiş olsun.
api key girişlerine ip kısıtlaması getirerek bu durumun önüne geçebilirler, diye düşünüyorum.
normal girişleri farklı bir kanaldan vermeleri veya veriyor olmaları lazım tabi ( incelemedim )
böylelikle başka bir mekandan girişleri engeller.
heee benim sabit ip im yok ama ben bot kullanmak istiyorum diyenlere de bir şey yapmasınlar, hem bot kullanacaksın hemde iki üç kuruşluk sabit ip den kaçacaksan zaten kullanma.

he botun içine kendi kullandığı kodu koyduysa adam zaten ona bişi yapamaz, kodu incelenmemiş bir bot kullananlar düşünsün.
ki şu an gözüken durum o değil gibi gözüküyor.
gözüken konu api key lerini bot denicem diye kaptıranlar olarak gözüküyor.
bot kullanmıyorum ama hacklenmişim diyorsun ya,
zamanında denemişsin api keyini almış adam,
api keyi kaptırmışsın kullanmasanda adam senin yerine kullanıyor durum bu.

he bu durumdan huylanıp api keyini değiştirmemişsin muhtemelen. ( öyle bir ayar koymuşlarmış bilmiyorum tabi incelemedim. )
api ye ip sınırlaması getirmek ne yazık ki sorunu çözmez çünkü korsanlar senin hesabına girip kendisi key oluşturuyor, yani sen sınırlı bir key oluştursan onu silip sana yeni key oluşturuyor onda da sınır olmuyor zaten hesabına key oluşturacak kadar girmişse durum vahim demektir.
abicim api key leri bot denicem diye insanlar veriyor zaten
api key ile giriş yapıp yeni api key oluşturamazsın
api key ile tüm işlemleri yapabilse idin ( özellikle kullanıcı ayarları , yeni api key oluşturma vb.. )  niye api key oluşturmakla uğraşsın, direkt kullanıcı bilgilerini verirdi
ya kardeşim bi bok bilmeden yazıp duruyorsunuz
git bi öğrende gel öyle konuş ya

www.livecoinprice.tk       www.gamebegin.tk
entegre78
Jr. Member
*
Offline Offline

Activity: 196
Merit: 5


View Profile WWW
March 12, 2018, 04:43:00 PM
 #34

Anladığım kadarıyla kimseden çalınan bişeyler yok. Botlar hacklenmiş veya içindeki kötü yanı ortaya çıkartmışlar. Hacker elinde tuttuğu coini botlar sayesinde pumplayıp yüksekten tekrar botlara satmış. Doğru mu?
botlar içine gizlenmiş bir kodun çalışması olarak gözükmüyor
daha çok botlar sayesinde elde edilmiş api key leri kullanıp kendi botları ile pump yapıp yukardan satışa koydukları via ları aldırmış.
milletin api key lerini kullandıkları için onların hesaplarını kullanmış oluyorlar

çünkü bot kullanmıyorum diyen kullanıcıların hesaplarında da hareket olmuş
muhtemelen daha önce bot denemesi yapan kullanıcı api keyini kaptırmış

bot deneyecekseniz açık kaynak kodlu botları deneyin
onlarda bir sorun tespit edilirse api key çalma girişimi veya kötü niyetli kodlar, yazıyor insanlar kullanmayın diye

www.livecoinprice.tk       www.gamebegin.tk
Compact_Racer_729
Full Member
***
Offline Offline

Activity: 392
Merit: 106


★777Coin.com★ Fun BTC Casino!


View Profile
March 12, 2018, 05:47:20 PM
 #35

Ya ben bu insanları anlamıyorum, herkes direk önüne gelene api key veriyor, ya api key vermek bu kadar kolay olmamalı,

tesla80
Member
**
Offline Offline

Activity: 448
Merit: 89

Full Stack Engineer


View Profile
March 12, 2018, 07:13:20 PM
 #36

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin Smiley
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor Smiley
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.
Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Smiley Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

Cyber Security, Mobile Security, Web/Desktop/Embedded Programming, Electronics, M2M, IoT
entegre78
Jr. Member
*
Offline Offline

Activity: 196
Merit: 5


View Profile WWW
March 12, 2018, 09:27:36 PM
 #37

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin Smiley
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor Smiley
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.
Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Smiley Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

ya git bir bak api key niçin oluşturulur.
öfff ya
mal mal konuşmalar
sen daha api key in bir kimlik olduğunun , 2fa nin tek kullanımlık bir şifre olduğunun bile farkında olmadan yazıp duruyon ya
yavrucum sen daha portakal iken ben yazılım şifrelerini kırıyordum. mahkemelik olduğum bile oldu.
onun için hadi canım git öğren biraz ya. kötü birşey demiyorum öğren iyilik ediyorum sana.

www.livecoinprice.tk       www.gamebegin.tk
Lethapudi
Sr. Member
****
Offline Offline

Activity: 476
Merit: 257


View Profile
March 12, 2018, 11:57:23 PM
 #38

Bu olay neden hiçbir zaman 3. parti yazılımları kullanmamız gerektiğinin kanıtıdır, özellikle insanlar nasıl oluyorda açık kaynak kodlu olmayan yazılımlarına paralarını emanet ediyor anlamak mümkün değil.
ogul
Newbie
*
Offline Offline

Activity: 210
Merit: 0


View Profile
March 13, 2018, 06:49:27 AM
 #39

sitelere girerken biraz daha dikkatli olmamız gerekiyor oyle her gelen siteye inanıp hemen dalmamak gerekir birde kullandığınız programlar ne kadar güvenli onu bilmek gerekir.
by rallier
Legendary
*
Offline Offline

Activity: 1848
Merit: 1334


just in case


View Profile WWW
March 13, 2018, 10:27:34 AM
 #40

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin Smiley
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor Smiley
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.
Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Smiley Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

Uslubum için özür dilerim haklısın böyle davranmamalıydım bazen insanların bir konuya vakıf olmadan yorum yaptıklarını görünce bi yere kadar sabredebiliyor, patlamam sana denk geldi. ayrıca benim yaptığım saygısızlığa sende keko diyerek dahil olmuşsun, keşke sende aynı tavırla girmeseydin olaya daha fazla pişman olabilirdim
Burada bi üçkagit döndüğü kesin, güvenlik açiğimizda yok diyorlar, phishing var diyorlar. bilmiyorum eldeki veriler yorumlamak için yeterli değil.
google android app i kullananlarda otomatik API oluşturulduğu da söylentiler arasında vs vs. sonuç olarak borsalarda para bırakmamalyz. söylentiler manipülasyon amaçlı bile binance tarafından kurgulanmş olabilir, kmse hacklenmemş olabilir. cevremizde cebinden para çıkan var mı   ? yok. herkes twitter da reddit te okudu ve buralarda fake hesaplar açip söylenti yapmak çok zor değil yarım milyon dolar cukkalamak için 10 bin dolar harcayarak binlerce açabilirsiniz.

signature not found.
Pages: « 1 [2] 3 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!