BTC-e.com. Череда неслучайных случайностей или пр&#

[BigMouse]

Доброго времени суток.

   История о взломе аккаунта на BTC-e.com, о работе техподдержки биржи и небольшое послесловие.
   Осторожно много букафф.
   Зарегистрировался на бирже BTC-e.com в мае этого года, некоторая сумма. Все было замечательно и хорошо, попыток взлома аккаунта биржи или почты не было, ничего не предвещало беды,  до того момента пока  19 ноября, я не ввел монетки BitCoin на биржу, продался на пике курса и в раздумьях куда потратить свалившееся богатство отправился на заслуженные выходные. 22 числа злоумышленники взломали почтовый ящик и получили доступ к бирже и 24 благополучно вывели мое несостоявшееся богатство.
   Кто не понял, как то это немного странно, что взлом осуществили сразу после ввода средств на биржу.
   Перед вводом средств на биржу пароль был изменен, для тех кто скажет, что аккаут был взломан давно и только этого и ждали.
   Деньги украдены и скорее всего не будут возвращены, кстати - может здесь, представитель биржи, ответит, что то внятное и вразумительное.

Чтобы не создавать еще топиков, отпишусь о техподдержке здесь:
1. При обращение в техподдержку приходит сообщение, что вам ответят в течении 72 часов, при этом при смене пароля аккаунта, вывод средств блокируется на 24 часа, как то логически не увязывается. Понятно, что 72 часа это максимально время и т.д. и т.п., но при неудачном истечении обстоятельств, даже если вы практически сразу заметите взлом аккаунта,  можете попрощаться со своими сбережениями.
2. Работают не быстро, но работают и это уже хорошо, правда время работы какое-то странное, примерно с 9 до 11 утра и с 21 до 23 по Москве, в остальное время занимаются чем-то очень важным, но не тикетами, вся активность в техподдержке происходила именно в это время.
3. Поддержка абсолютно не читает, что написано в тикете, возможно я использовал неверные слова или неясно выражался, сошлемся на мое неумение внятно излагать мысли и прейдем далее.
4. Самое главное и интересное, в связи с утерей контроля над почтовым ящиком предложили изменить почту, ответив на мой тикет вот этим текстом: https://hdbtce.kayako.com/Knowledgebase/Article/View/19/2/the-change-of-an-e-mail-in-a-profile--izmenenie-e-mail-v-profile - мне так показалось, что это именно предложение сменить почту, потому как дописать пару строк никто не удосужился. Дальше больше, заполняю всю необходимую информацию и отправляю в ответ на тикет, но этого оказалось не достаточно, через 24 часа мне приходить письмо от робота - закрываем тикет, вы не предоставили необходимую информацию, если хотите, что бы ваш тикет не закрыли ответьте письмом. Отвечаю письмом, продублировав необходимую информацию - но этого тоже не достаточно, на данный момент тикет закрыт, проблема не решена. Возникает подозрение, что сотрудники техподдержки не умеют пользоваться системой тикетов или им просто, все ниже пояса по хитону.

   Небольшое послесловие, система безопасности откровенно говоря странноватая, при потере контроля над почтовым ящиком повлиять на аккаунт невозможно, как вариант могли бы предусмотреть резервный почтовый ящик или SMS на мой мобильный телефон о смене пароля - пусть даже платный. На данный момент все сделано для того, что бы на 100% отгородится, при таких случаях как мой, от ответственности и в последствии всегда можно сказать, а мы предупреждали лучше защищайте почту.

[d1mn]

логи входа на твой акк есть?

[Deth]

   Перед вводом средств на биржу пароль был изменен, для тех кто скажет, что аккаут был взломан давно и только этого и ждали.

Это не важно, если:
1. Ваш компьютер был протроянен или
2. У злоумышленников был доступ к почте.

Службу поддержки btc-e много ругают в последнее время, и я заметил, что это происходит в моменты, когда курс значительно растет. Что скорее всего вызвано потоком фиата на биржу, с которым она к сожалению не может справляться. То есть вам не повезло вдвойне - что вас сломали, и что сломали именно сейчас, когда администрация загружена.

Что касается смс-оповещений и прочего. Я и так считаю, что сейчас чересчур гайки закручены, причем в сторону уменьшения издержек - что было проще сделать, то и прикрутили. Запретили Tor, сделали привязку по ip, сделали подтверждение по почте и т.д. Такое ощущение, что администрации просто не хватает людей, которые были бы компетентны в вопросах и которым можно было бы доверить навешивание дополнительных свистелок. Расширять штат, видимо, некем. С другой стороны, видим стабильную работу и отсутствие взломов самой биржи, так что желание лучшего сервиса конечно есть, но так же хочется не терять то, что уже присутствует.

[RoadTrain]

Что касается смс-оповещений и прочего. Я и так считаю, что сейчас чересчур гайки закручены, причем в сторону уменьшения издержек - что было проще сделать, то и прикрутили. Запретили Tor, сделали привязку по ip, сделали подтверждение по почте и т.д. Такое ощущение, что администрации просто не хватает людей, которые были бы компетентны в вопросах и которым можно было бы доверить навешивание дополнительных свистелок. Расширять штат, видимо, некем. С другой стороны, видим стабильную работу и отсутствие взломов самой биржи, так что желание лучшего сервиса конечно есть, но так же хочется не терять то, что уже присутствует.

Про стабильную работу это вы перегнули. Биржа и раньше не справлялась с периодическими ддосами, а сейчас вообще атас.
Надеюсь, что обновление оборудования исправит ситуацию.

То, что не взламывали - это да, радует.

[tvv]

На всякий случай - сделайте и сохраните traceroute с ваших провайдеров до ящика и биржи.

tracert SITE > file.txt


PS  еще можно сделать бэкап системы, если место позволяет, в архив с паролем или на другой диск,
а потом поискать что там свежего антивирусом...

[Deth]

Про стабильную работу это вы перегнули. Биржа и раньше не справлялась с периодическими ддосами, а сейчас вообще атас.

DDoS - проблема вообще любого ресурса, в буквальном смысле, не только btc-e. Да и знает наверняка об атаках только администрация, ведь "сайт работает" != "отсутствие атаки".

[tvv]

Там судя по всему АНБ имеет доступ к данным через хостера,
но мелкие кражи это не в их стиле...  Или там не мелкая была?..
(ну скажем так - намекните сумма больше или меньше скажем 100 K$ )


PS  ну дак че, дети, сайт по безопасности и антишпионажу делать будем, али как?

PPS  кстати перехвачены торг счета mt4(демо не хотят перехватывать - подсовывал) и зачем-то киви...
(склоняюсь к тому что это АНБ, все на это указывает, но зачем им киви не понимаю?  Это ж виса,
они и так ее по офиц каналам могут протрясти...)

[Lexiko]

Там судя по всему АНБ имеет доступ к данным через хостера,
но мелкие кражи это не в их стиле...  Или там не мелкая была?..
(ну скажем так - намекните сумма больше или меньше скажем 100 K$ )


PS  ну дак че, дети, сайт по безопасности и антишпионажу делать будем, али как?

PPS  кстати перехвачены торг счета mt4(демо не хотят перехватывать - подсовывал) и зачем-то киви...
(склоняюсь к тому что это АНБ, все на это указывает, но зачем им киви не понимаю?  Это ж виса,
они и так ее по офиц каналам могут протрясти...)

Вы че курите, какое АНБ  Чел троя словил.

BigMouse, вы бы не тратили время на тикеты , если деньги ушли все равно уже врядли чем помогут, проверяйте систему, а лучше вообще переставить заново.
Так себя убережете от подобных случаев в дальнейшем (и кражи того, что осталось).
Ну, думаю не лишним, будет напомнить про 2ф авторизацию на бирже и почте, это первым делом.

[tvv]

Че, трояны уже научились ломать SSL с перехватом пакетов(в разрыв соединения!) на уровне сети провайдера?..

PS  дизассемблер с отладчиком в руки и вперед...

[Lexiko]

Че, трояны уже научились ломать SSL с перехватом пакетов(в разрыв соединения!) на уровне сети провайдера?..

PS  дизассемблер с отладчиком в руки и вперед...

А где вы вычитали про взлом SSL И перехват пакетов? О_О 
Человек пишет, что взломали почтовый ящик и вывели монеты.
Гуляют же где-то по интернету базы 50btc и btcsec форума, вот и брутят по ним.

[tvv]

У него что один пароль везде был?

А пароли в тех базах шифрованные были, или можно полностью сам исходный пароль восстановить и поискать систему?


PS  траффик перехватывается, я это вычислил, там вообще какая-то хитрая технология - шифрованные пакеты похоже отлавливают из потока и утаскивают в какой-то тунель, по кр мере они не идут там где все остальные...
(то есть это что-то даже круче сорма - там было зеркалирование канала вроде,
а этих накормить дерьмом оказалось не так-то просто, нельзя же просто так отпускать шпиона не надрав уши )

PPS  как думаете бэкап всего порнолаба в АНБ влезет?

[Lexiko]

У него что один пароль везде был?

А пароли в тех базах шифрованные были, или можно полностью сам исходный пароль восстановить и поискать систему?


PS  траффик перехватывается, я это вычислил, там вообще какая-то хитрая технология - шифрованные пакеты похоже отлавливают из потока и утаскивают в какой-то тунель, по кр мере они не идут там где все остальные...
(то есть это что-то даже круче сорма - там было зеркалирование канала вроде,
а этих накормить дерьмом оказалось не так-то просто, нельзя же просто так отпускать шпиона не надрав уши )

PPS  как думаете бэкап всего порнолаба в АНБ влезет?

tvv, отсыпь. 

[Echoes]

tvv, отсыпь. 

Там в/в скорее 

[Balthazar]

http://prostoprint.com/product/futbolka-741635/

[BigMouse]

Вы че курите, какое АНБ  Чел троя словил.

BigMouse, вы бы не тратили время на тикеты , если деньги ушли все равно уже врядли чем помогут, проверяйте систему, а лучше вообще переставить заново.
Так себя убережете от подобных случаев в дальнейшем (и кражи того, что осталось).
Ну, думаю не лишним, будет напомнить про 2ф авторизацию на бирже и почте, это первым делом.

На данный момент, тикеты все что осталось - потому как 80% денег к которым был доступ через комп выгребли с BTC-e, все остальное уже не в виртуальных системах.

[BigMouse]

логи входа на твой акк есть?

Логов с биржи нету и когда будут неизвестно - потому как не могу добиться нормальной двухсторонней связи по вопросу смены почтового ящика, а писать в нагрузку еще один тикет не вижу смысла - уйдет в никуда.
На почте осталась часть логов - каждый раз заходили с разного IP адреса. Полностью логи почта выдать отказалась, типа не вашей компетенции дело, запрашивайте через соответствующие органы.

[alexxy]

Вы че курите, какое АНБ  Чел троя словил.

BigMouse, вы бы не тратили время на тикеты , если деньги ушли все равно уже врядли чем помогут, проверяйте систему, а лучше вообще переставить заново.
Так себя убережете от подобных случаев в дальнейшем (и кражи того, что осталось).
Ну, думаю не лишним, будет напомнить про 2ф авторизацию на бирже и почте, это первым делом.

А лучше вообще не юзать поделки мелких и мягких с их тысячами троянов. А сидеть с систем таких как Linux, *BSD, Solaris, AIX. Тогда шансы словить трояна стремятся к нулю

[tvv]

Вы че курите, какое АНБ  Чел троя словил.

BigMouse, вы бы не тратили время на тикеты , если деньги ушли все равно уже врядли чем помогут, проверяйте систему, а лучше вообще переставить заново.
Так себя убережете от подобных случаев в дальнейшем (и кражи того, что осталось).
Ну, думаю не лишним, будет напомнить про 2ф авторизацию на бирже и почте, это первым делом.

А лучше вообще не юзать поделки мелких и мягких с их тысячами троянов. А сидеть с систем таких как Linux, *BSD, Solaris, AIX. Тогда шансы словить трояна стремятся к нулю

а чем юникс может помоч против перехвата траффика на уровне провайдера?..

Взломают, причем еще быстрее чем винду тк линукс даже дизассемблировать не надо - меньше работы

Vladimir
PS  ни в коем случае не переставляйте систему пока не сделаете копию всего, включая загрузчик!
(для этого лучше загрузиться с другого чистого диска или переставить этот в другой комп и сделать копии)
Если это новый троян - то его надо дизассемблировать обязательно, а если это одна из разработок спецслужб, то 99% что его не включат в антивирусные базы или включат очень не скоро...

[tvv]

http://prostoprint.com/product/futbolka-741635/

   (а почему я не удивлен?   )

когда протрезвеешь, глянь-ка вот это, и поспрошай там что это за хрень там может летать...
(потому как я не шучу - если эти косяки не разрулят, то следующим проектом будет антишпионская ракета )

http://www.go-dominicana.com/forum/viewtopic.php?f=13&t=1696&p=17472#p17472

Vladimir

[tvv]

логи входа на твой акк есть?

Логов с биржи нету и когда будут неизвестно - потому как не могу добиться нормальной двухсторонней связи по вопросу смены почтового ящика, а писать в нагрузку еще один тикет не вижу смысла - уйдет в никуда.
На почте осталась часть логов - каждый раз заходили с разного IP адреса. Полностью логи почта выдать отказалась, типа не вашей компетенции дело, запрашивайте через соответствующие органы.

что за ящик был, на каком сервере?

какие еще платежные системы были использованы при вводе или выводе?
киви использовалась?

куда вывели из бтц-е?