WARNING Binance

[Piggy]

A me personalmente la cosa che preoccupa maggiormente di tutta la storia è il fatto che si è anche solo accennato di fare una reorg (con eventuale corruzione dei miners con parte dei bitcoin recuperati). E se la prossima volta ad essere "rubati" sono 70000 anzichè 7000 bitcoin? Pensate che CZ e tutti i suoi leccac*** non farebbero più pressioni per convincere tutti che recuperarli è la cosa "giusta"?

Non credo cambierebbe molto, per i minatori tanto vale smettere di minare, nel momento in cui il reorg avviene bitcoin va a 0.

Comunque con quello che è successo e conseguenti dichiarazioni, in un mercato normale BNB sarebbe colato a picco o comunque avrebbe perso qualcosa. Qui invece la reazione è stata praticamente nulla, segnali poco rassicuranti o forse solo di un mercato giovane/inesperto.

[1715016952]

1715016952

[1715016952]

1715016952

[1715016952]

1715016952

[duesoldi]

Comunque con quello che è successo e conseguenti dichiarazioni, in un mercato normale BNB sarebbe colato a picco o comunque avrebbe perso qualcosa. Qui invece la reazione è stata praticamente nulla, segnali poco rassicuranti o forse solo di un mercato giovane/inesperto.

Secondo me ha influito molto un altro fattore: il furto è successo in un momento in cui c'erano già da qualche giorno forti segnali di ripresa. E dopo una crisi di quasi un anno e mezzo il mercato AVEVA VOGLIA di rimettersi a correre.
Questo ha fatto passare senza grossi impatti sia la notizia del furto sia la altrettanto negativa reazione di Binance.

[Ale88]

Riuppo questo thread perché ho appena ricevuto una email di allerta dal sito https://haveibeenpwned.com, un sito gratuito che permette di verificare se la password del vostro indirizzo email è stata violata in qualche modo, e l'oggetto del messaggio è "Yours is one of 10,001 email addresses found in a paste titled "Binance 10M accounts for sale"". Qualcun altro è iscritto al servizio e l'ha ricevuta per caso? Perché immagino riguardi praticamente tutti gli iscritti a Binance, o quasi, no?

Preciso che l'email specifica che "An email address in a paste doesn't always represent a data breach so review the paste and determine if any data has actually been compromised then take appropriate action such as changing passwords."

Il file con tutti gli indirizzi termina con "Binance 10M accounts for sale 500BTC" e l'indirizzo email da contattare. Se sia una cosa seria o no, non lo so, ma il mio indirizzo è specifico per gli exchange e non lo uso da altre parti, eppure risulta in quella lista.....

Io ho sempre la 2FA da tutte le parti, ma per sicurezza ho appena cambiato la password di Binance, e vi consiglio di fare lo stesso.

[duesoldi]

Riuppo questo thread perché ho appena ricevuto una email di allerta dal sito https://haveibeenpwned.com, un sito gratuito che permette di verificare se la password del vostro indirizzo email è stata violata in qualche modo, e l'oggetto del messaggio è "Yours is one of 10,001 email addresses found in a paste titled "Binance 10M accounts for sale"". Qualcun altro è iscritto al servizio e l'ha ricevuta per caso? Perché immagino riguardi praticamente tutti gli iscritti a Binance, o quasi, no?

Preciso che l'email specifica che "An email address in a paste doesn't always represent a data breach so review the paste and determine if any data has actually been compromised then take appropriate action such as changing passwords."

Il file con tutti gli indirizzi termina con "Binance 10M accounts for sale 500BTC" e l'indirizzo email da contattare. Se sia una cosa seria o no, non lo so, ma il mio indirizzo è specifico per gli exchange e non lo uso da altre parti, eppure risulta in quella lista.....

Io ho sempre la 2FA da tutte le parti, ma per sicurezza ho appena cambiato la password di Binance, e vi consiglio di fare lo stesso.

Sono iscritto a Binance ma non ho ricevuto nessuna mail di avviso.
Ho anche controllato il mio indirizzo su quel sito e mi dice "Good news — no pwnage found!".

Quindi evidentemente è una mail che è arrivata solo a qualcuno.

Però hai scritto una cosa interessante, quella che ho evidenziato in grassetto. Hai usato il plurale, vuoi dire che quell'indirizzo lo hai usato anche presso altri exchange ? perché se così fosse l'indirizzo potrebbe essere stato rubato presso un altro exchange, non necessariamente Binance.

Infine, giusto per incasinare le idee  (  ) aggiungo che su  haveibeenpwned.com   avevo verificato altri indirizzi email che uso e almeno un paio erano risultati positivi, ma non ho mai ricevuto mail di avviso da   loro.
Boh: personalmente non ci penserei più di tanto, ovviamente dopo aver cambiato pwd + 2FA come hai già fatto.

[Ale88]

Rispondo punto per punto perché stai facendo confusione:

Sono iscritto a Binance ma non ho ricevuto nessuna mail di avviso.

L'email che ho ricevuto non arriva da Binance, arriva da haveibeenpwned.com.

Però hai scritto una cosa interessante, quella che ho evidenziato in grassetto. Hai usato il plurale, vuoi dire che quell'indirizzo lo hai usato anche presso altri exchange ?

Sì, è l'indirizzo email specifico per gli exchange.

perché se così fosse l'indirizzo potrebbe essere stato rubato presso un altro exchange, non necessariamente Binance.

L'indirizzo risulta presente in una lista che si chiama "Binance 10M accounts for sale", quindi l'hanno sicuramente preso da lì, e sicuramente il pacchetto include anche le password.

Infine, giusto per incasinare le idee  (  ) aggiungo che su  haveibeenpwned.com   avevo verificato altri indirizzi email che uso e almeno un paio erano risultati positivi, ma non ho mai ricevuto mail di avviso da   loro.

L'email di avviso la ricevi solamente se tu richiedi di riceverla se e quando un tuo indirizzo email viene compromesso, se fai solamente un controllo ti dirà solo se è stato compromesso, ma non riceverai mai nessuna email.

Boh: personalmente non ci penserei più di tanto, ovviamente dopo aver cambiato pwd + 2FA come hai già fatto.

Chiaro, io sono tranquillo, però mi sembrava giusto segnalarlo perché stai certo che anche qui dentro c'è gente che ancora oggi non usa la 2FA.

[babo]

haveibeenpwned.com, che dio lo benedica!

non ricordo se ho account su binance, ma faccio un check
grazie

[duesoldi]

L'indirizzo risulta presente in una lista che si chiama "Binance 10M accounts for sale", quindi l'hanno sicuramente preso da lì, e sicuramente il pacchetto include anche le password.

Beh non è detto che ci siano anche le pwd: da tempo i siti "decenti"  (cioè non terra-terra) non salvano più le pwd ma solo un loro hash ed è poi quello che confrontano al login. Non so come funzioni Binance ma essendo un sito grosso e che tratta valori economici significativi voglio ben sperare che abbia un sistema di login almeno discreto.

L'email di avviso la ricevi solamente se tu richiedi di riceverla se e quando un tuo indirizzo email viene compromesso, se fai solamente un controllo ti dirà solo se è stato compromesso, ma non riceverai mai nessuna email.

Questo non lo sapevo; hai fatto bene a specificarlo, grazie!

[jack0m]

L'indirizzo risulta presente in una lista che si chiama "Binance 10M accounts for sale", quindi l'hanno sicuramente preso da lì, e sicuramente il pacchetto include anche le password.

Beh non è detto che ci siano anche le pwd: da tempo i siti "decenti"  (cioè non terra-terra) non salvano più le pwd ma solo un loro hash ed è poi quello che confrontano al login. Non so come funzioni Binance ma essendo un sito grosso e che tratta valori economici significativi voglio ben sperare che abbia un sistema di login almeno discreto.

sì dovrebbero conservare le hash salate (salted), in modo da rendere più difficile il brute-force. Se hai scelto una password abbastanza forte, anche avendo a disposizione la hash non può essere craccata con semplici attacchi a dizionario o brute-force.

[Ale88]

Beh non è detto che ci siano anche le pwd: da tempo i siti "decenti"  (cioè non terra-terra) non salvano più le pwd ma solo un loro hash ed è poi quello che confrontano al login. Non so come funzioni Binance ma essendo un sito grosso e che tratta valori economici significativi voglio ben sperare che abbia un sistema di login almeno discreto.

Dunque, premesso che stiamo parlando di un elenco in vendita su internet (presumo nel dark web), quindi può essere tutto e il contrario di tutto, a logica per me sta sicuramente vendendo il pacchetto email + password, perché il pacchetto si chiama proprio "Binance account", e un'email non è sufficiente per essere considerato un account. Ripeto, stiamo comunque parlando di aria fritta 

[duesoldi]

Dunque, premesso che stiamo parlando di un elenco in vendita su internet (presumo nel dark web), quindi può essere tutto e il contrario di tutto, a logica per me sta sicuramente vendendo il pacchetto email + password, perché il pacchetto si chiama proprio "Binance account", e un'email non è sufficiente per essere considerato un account. Ripeto, stiamo comunque parlando di aria fritta 

Beh con la sola email puoi già sapere e quindi fare cose interessanti:
1) sapere che quell'email è associata ad un account binance ti consente di non sparare nel mucchio
2) se il file contiene 10mln di mail, vuoi che almeno un centinaio non abbiano la classica pwd  "12345"  oppure "password" ?   


Ok scherzi a parte, lascio un link ad una cosa letta proprio oggi e che si aggancia al tema mail rubate e avviso conseguente:

https://www.bleepingcomputer.com/news/software/firefox-to-warn-when-saved-logins-are-found-in-data-breaches/

[alexrossi]

haveibeenpwned.com, che dio lo benedica!

non ricordo se ho account su binance, ma faccio un check
grazie

Gran sito!!! Ho aiutato anche un paio di amici a capire se le loro vecchie mail erano al sicuro e ovviamente almeno 2-3 siti sono risultati. Grazie ancora