Bitcoin Forum
December 06, 2019, 12:10:58 AM *
News: Latest Bitcoin Core release: 0.19.0.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Bitmex - Leak données utilisateurs  (Read 151 times)
GrosWesh
Sr. Member
****
Offline Offline

Activity: 686
Merit: 387


BBOD Zero-Fee Exchange


View Profile
November 01, 2019, 09:44:41 PM
Last edit: November 01, 2019, 10:19:24 PM by GrosWesh
Merited by Halab (2), yogg (1), Saint-loup (1), lulucrypto (1)
 #1

J'aurai voulu poster dans le topic attribué à Bitmex mais ne l'ai pas trouvé.

Les adresses mail d'un grand nombre des utilisateurs de l'exchange ont fuité suite à un envoi massif de mails mal configuré. S'agit il d'un hack ou d'une erreur ?? Le propriétaire du compte twitter suivant https://twitter.com/Bitmexdatabase1, affirme lui être en possession de la fameuse database qu'il aurait hackée.



https://journalducoin.com/exchanges/bitmex-fuire-base-donnee-mail-utilisateurs/
https://fr.cryptonews.com/news/unfortunate-halloween-bitmex-data-leak-deribit-reimburses-bt-4729.htm

Par ailleurs, Binance a conseillé à ces utilisateurs de changer de mail s'il étaient également clients de Bitmex et que leur adresse a fuité. https://twitter.com/binance/status/1190176334837735425

Edit : A priori un français est parvenu a mettre la main sur des millers de ces adresses mails, a trouver le mdp correspondant ( Shocked Shocked) à presque 200 d'entre elles et à envoyer des courriers pour prévenir chacun de ces utilisateurs ! Chapeau bas !

https://twitter.com/TheCrypt0Mask/status/1190229232288448513




1575591058
Hero Member
*
Offline Offline

Posts: 1575591058

View Profile Personal Message (Offline)

Ignore
1575591058
Reply with quote  #2

1575591058
Report to moderator
1575591058
Hero Member
*
Offline Offline

Posts: 1575591058

View Profile Personal Message (Offline)

Ignore
1575591058
Reply with quote  #2

1575591058
Report to moderator
1575591058
Hero Member
*
Offline Offline

Posts: 1575591058

View Profile Personal Message (Offline)

Ignore
1575591058
Reply with quote  #2

1575591058
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
Saint-loup
Hero Member
*****
Offline Offline

Activity: 994
Merit: 824


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 01, 2019, 10:35:01 PM
Last edit: November 02, 2019, 09:32:13 AM by Saint-loup
 #2

Non je peux confirmer qu'il ne s'agit pas d'un hack, ayant été destinataire du mail en question...
En revanche contrairement à ce que j'ai pu lire les adresses n'ont pas été ajoutées au champ CC au lieu de BCC, mais carrément au champ To.
Perso j'avais trouvé bizarre tous ces noms en destinataire mais j'avais bêtement cru qu'il s'agissait de membres du staff lol.
Je ne peux pas poster le mail ici, mais vous pouvez checker si votre adresse a été leakée sur https://haveibeenpwned.com ils sont à jour du leak, j'y ai trouvé mon adresse bitmex, elle figure dans 2 fichiers de 6000 et 7000 adresses qui se baladent sur le (clear) net.



Edit : A priori un français est parvenu a mettre la main sur des millers de ces adresses mails, a trouver le mdp correspondant ( Shocked Shocked) à presque 200 d'entre elles et à envoyer des courriers pour prévenir chacun de ces utilisateurs ! Chapeau bas !

https://twitter.com/TheCrypt0Mask/status/1190229232288448513
Je ne sais pas ce qu'il entend par trouver le mdp correspondant mais je doute franchement de ça. D'après ce que je comprends il check si l'adresse existe dans d'autres leaks oú le mdp a fuité...
Et après, je ne sais par quel miracle il trouve soi-disant le bon mdp pour bitmex...  Undecided
Perso je doute franchement qu'il ait pu accéder à des comptes comme ça.

Déjà Bitmex check l'IP et l'user-agent de la connexion et bloque si c'est un point d'accès exotique, vous pouvez d'ailleurs voir la liste de toutes les tentatives d'accès à votre compte ici https://www.bitmex.com/app/activityLog et je peux vous dire que malgré le fait que mon mail ait été leaké il y a eu pour le moment zero tentative d'accès à mon compte (ce qui est assez surprenant d'ailleurs).

Ensuite, Bitmex a très rapidement réagi (encore heureux certes) et a reseté tous les mdp des adresses leakées.
Perso j'ai vu que mon mdp avait été reseté avant d'apprendre la news, ce qui m'a fait me demander si c'etait juste parce que mon mdp était trop ancien ou si ce n'etait pas une tentative d'attaque...  Sad
Donc ce cryptomask bluffe un peu à mon avis.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

      .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
GrosWesh
Sr. Member
****
Offline Offline

Activity: 686
Merit: 387


BBOD Zero-Fee Exchange


View Profile
November 02, 2019, 11:55:57 AM
 #3


Perso je doute franchement qu'il ait pu accéder à des comptes comme ça.
...
Donc ce cryptomask bluffe un peu à mon avis.


Pour ma part j'ai tendance à ... le croire. Ca peut faire un peu peur en effet mais je ne voit pas ce qu'il à a gagner à inventer ça. Quand on lui demande sur twitter d'ou vient sa db de mdp il répond qu'il a 'collecté' ça ces dernières années (https://twitter.com/TheCrypt0Mask/status/1190348608878645250). Il a aussi mentionné 'cleartext passwords'. 

Yaplatu
Sr. Member
****
Offline Offline

Activity: 714
Merit: 266


Member of XRP Army


View Profile
November 02, 2019, 12:40:32 PM
 #4

Ca peut faire un peu peur en effet mais je ne voit pas ce qu'il à a gagner à inventer ça.

Des followers, le nombre de personne qui font des faux concours, faux screen etc. Seulement pour avoir des followers je t'explique pas... Comme Saint-loup je suis plutôt mitigé.

"Les révolutions coupent les têtes alors qu'il suffirait de changer les cerveaux." - Ralph Waldo Emerson.
GrosWesh
Sr. Member
****
Offline Offline

Activity: 686
Merit: 387


BBOD Zero-Fee Exchange


View Profile
November 02, 2019, 12:51:20 PM
 #5

Au risque de ruiner sa e-reputation ?? Il a pas l'air de sortir de nul part non plus. A suivre  Wink

yogg
Legendary
*
Offline Offline

Activity: 1680
Merit: 2053


Coldkey™ -- coldkey.eu


View Profile WWW
November 02, 2019, 12:54:56 PM
 #6

J'ai aussi été un des destinataires de cet email.  Undecided

Je ne sais pas ce qu'il entend par trouver le mdp correspondant mais je doute franchement de ça. D'après ce que je comprends il check si l'adresse existe dans d'autres leaks oú le mdp a fuité...
Et après, je ne sais par quel miracle il trouve soi-disant le bon mdp pour bitmex...  Undecided
Perso je doute franchement qu'il ait pu accéder à des comptes comme ça.

Là dans ce cas, ce n'est pas une base de données qui a leak.
Oui, si l'adresse email est présente dans d'autres BDD qui ont leak, et qu'il y'a le hash du mot de passe, on peut utiliser une rainbow table pour en déduire le MDP.
Après, il faut aussi que la 2FA n'aie pas été activée pour permettre une connexion directe au compte.



Déjà Bitmex check l'IP et l'user-agent de la connexion et bloque si c'est un point d'accès exotique, vous pouvez d'ailleurs voir la liste de toutes les tentatives d'accès à votre compte ici https://www.bitmex.com/app/activityLog et je peux vous dire que malgré le fait que mon mail ait été leaké il y a eu pour le moment zero tentative d'accès à mon compte (ce qui est assez surprenant d'ailleurs).

Oui on peut voir la liste des accès au compte mais comment est-ce que tu sais qu'ils bloquent la connexion si c'est exotique ?
Est-ce que c'est quelque chose qui t'es déjà arrivé ?





Gros bluff / fake imo.
Je vois pas en quoi la vérification de cette liste d'email est huge, et le staff de BitMex ne s'est pas fait hacké.
A moins qu'il y'aie eu une autre attaque en même temps, mais peu probable.

LeGaulois
Copper Member
Legendary
*
Offline Offline

Activity: 1274
Merit: 1230

Bitcoin Ninja Unregulated Banker Unbanking Folks


View Profile
November 02, 2019, 03:31:39 PM
Last edit: November 02, 2019, 03:52:21 PM by LeGaulois
 #7

Je vois mal Bitmex mentir sur quelque chose comme ca. Comme par hasard le mec dit ca le jour même de cette 'erreur logicielle', sur un compte bidon. C'est juste un troll.

Quote
Je ne sais pas ce qu'il entend par trouver le mdp correspondant mais je doute franchement de ça. D'après ce que je comprends il check si l'adresse existe dans d'autres leaks oú le mdp a fuité...
Et après, je ne sais par quel miracle il trouve soi-disant le bon mdp pour bitmex...  Undecided
Perso je doute franchement qu'il ait pu accéder à des comptes comme ça.

parce que la majorité des personnes utilisent le même mdp partout. Effectivement, l'autre personne n'a rien trouvé de special en fait, juste que les adresses emails sont attachées à un mdp en cleartext dans une autre base de données. Et j'aimerais bien savoir ce qu'il fait d'ailleurs avec ces autres BDD qu'il a 'collecté au fil du temps'. Si c'est pas un spammer c'est pas un white hat en tout cas.
 
Quote
A moins qu'il y'aie eu une autre attaque en même temps, mais peu probable.

Dans ce genre? ca date d'hier soir https://ip.bitcointalk.org/?u=https%3A%2F%2Fpbs.twimg.com%2Fmedia%2FEISguvNWkAAxFF-.png&t=606&c=WKUf5GvJb_kJRQ


yogg
Legendary
*
Offline Offline

Activity: 1680
Merit: 2053


Coldkey™ -- coldkey.eu


View Profile WWW
November 02, 2019, 04:34:32 PM
 #8


Ils se sont fait hacker leur Twitter.
https://www.ccn.com/bitmex-twitter-hack-incites-ominous-warning-take-your-bitcoin-run/

Bitmex va bien et tout tourne, mis à part la "boulette" où ils ont révélés l'adresse email de plein de clients pour envoyer une newsletter à la noix. Roll Eyes
Ça c'est vraiment moyen en revanche et je me demande si il y aura des conséquences.

GrosWesh
Sr. Member
****
Offline Offline

Activity: 686
Merit: 387


BBOD Zero-Fee Exchange


View Profile
November 02, 2019, 10:39:33 PM
Last edit: November 03, 2019, 12:10:11 AM by GrosWesh
Merited by Saint-loup (1), Halab (1)
 #9

si l'adresse email est présente dans d'autres BDD qui ont leak, et qu'il y'a le hash du mot de passe, on peut utiliser une rainbow table pour en déduire le MDP.

Merci pour le lien ! Je ne connaissais pas et c'est très intéressant. Du coup j'ai trouvé une autre source d'explications de ces 'rainbow tables'. Je pose ça ici en complément  Wink https://www.ionos.fr/digitalguide/serveur/securite/rainbow-tables/


Ouais j'avais vu ça aussi mais j'ai préféré ne pas en rajouter encore, ça faisait beaucoup de news à la fois dont certaines pas encore bien vérifiées (comme ce compte 'Bitmexdatabase1'). Mais les  captures d'écran au dessus sont intrigantes.... D'où ma question en op : hack ou fuite ? Ou les deux ?  Tongue

Saint-loup
Hero Member
*****
Offline Offline

Activity: 994
Merit: 824


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 03, 2019, 07:52:02 AM
 #10

si l'adresse email est présente dans d'autres BDD qui ont leak, et qu'il y'a le hash du mot de passe, on peut utiliser une rainbow table pour en déduire le MDP.

Merci pour le lien ! Je ne connaissais pas et c'est très intéressant. Du coup j'ai trouvé une autre source d'explications de ces 'rainbow tables'. Je pose ça ici en complément  Wink https://www.ionos.fr/digitalguide/serveur/securite/rainbow-tables/
Merci pour ce lien très didactique. Du coup là ça va partir en HS, donc il faudrait peut-être mieux poster dans un sujet oú on en a déjà parlé, mais si les rainbow tables marchent très bien pour cracker les mdp Windows(je peux te le confirmer  Wink ) ou en tous cas les anciennes versions, pour les mdp de sites en ligne c'est différent car comme il est rappelé dans ton lien, les contre-mesures de protection sont assez simples, il suffit d'utiliser un pepper, c'est-à-dire une clé utilisée en plus pour le hachage et/ou un salt(une string random ajoutée). Et comme le dit LeGaulois là le mec il dit avoir récupéré des listings en clair... probablement achetés ou échangés sur le darknet.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

      .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
GrosWesh
Sr. Member
****
Offline Offline

Activity: 686
Merit: 387


BBOD Zero-Fee Exchange


View Profile
November 03, 2019, 12:15:04 PM
 #11

j'y ai trouvé mon adresse bitmex, elle figure dans 2 fichiers de 6000 et 7000 adresses qui se baladent sur le (clear) net.


J'avais lu 22k mails pour ma part et cet article parle de 30k ! https://cointelegraph.com/news/hackers-take-over-bitmex-twitter-but-customer-funds-reportedly-safe

Saint-loup
Hero Member
*****
Offline Offline

Activity: 994
Merit: 824


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 03, 2019, 12:26:13 PM
 #12

j'y ai trouvé mon adresse bitmex, elle figure dans 2 fichiers de 6000 et 7000 adresses qui se baladent sur le (clear) net.


J'avais lu 22k mails pour ma part et cet article parle de 30k ! https://cointelegraph.com/news/hackers-take-over-bitmex-twitter-but-customer-funds-reportedly-safe
Ca ne serait pas impossible qu'ils aient envoyé plusieurs batchs, ces fichiers ne doivent contenir que le batch dont je fais partie. Après il y a peut-être(sans doute même) de faux listings qui doivent circuler aussi.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

      .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
GrosWesh
Sr. Member
****
Offline Offline

Activity: 686
Merit: 387


BBOD Zero-Fee Exchange


View Profile
November 03, 2019, 01:12:14 PM
 #13

j'y ai trouvé mon adresse bitmex, elle figure dans 2 fichiers de 6000 et 7000 adresses qui se baladent sur le (clear) net.


J'avais lu 22k mails pour ma part et cet article parle de 30k ! https://cointelegraph.com/news/hackers-take-over-bitmex-twitter-but-customer-funds-reportedly-safe
Ca ne serait pas impossible qu'ils aient envoyé plusieurs batchs, ces fichiers ne doivent contenir que le batch dont je fais partie. Après il y a peut-être(sans doute même) de faux listings qui doivent circuler aussi.

Oui c'est certain qu'il doit y en avoir des faux. Et oui il y a eu plusieurs vagues d'envoi.

Sinon je me faisais la réflexion qu'ils (potentiels hackers) n'ont pas à attendre forcément ce genre de leak pour collecter des adresses mails. Rien qu'en parcourant les spreadsheets de bounties je suis sûr que certains utilisent la même adresse pour les bounties/airdrops et les comptes d'exchange... Je serai curieux de savoir si cette fuite au final a débouché sur des vols.

Saint-loup
Hero Member
*****
Offline Offline

Activity: 994
Merit: 824


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 04, 2019, 03:31:22 PM
Merited by Halab (1), GrosWesh (1)
 #14

j'y ai trouvé mon adresse bitmex, elle figure dans 2 fichiers de 6000 et 7000 adresses qui se baladent sur le (clear) net.


J'avais lu 22k mails pour ma part et cet article parle de 30k ! https://cointelegraph.com/news/hackers-take-over-bitmex-twitter-but-customer-funds-reportedly-safe
Ca ne serait pas impossible qu'ils aient envoyé plusieurs batchs, ces fichiers ne doivent contenir que le batch dont je fais partie. Après il y a peut-être(sans doute même) de faux listings qui doivent circuler aussi.

Oui c'est certain qu'il doit y en avoir des faux. Et oui il y a eu plusieurs vagues d'envoi.

Sinon je me faisais la réflexion qu'ils (potentiels hackers) n'ont pas à attendre forcément ce genre de leak pour collecter des adresses mails. Rien qu'en parcourant les spreadsheets de bounties je suis sûr que certains utilisent la même adresse pour les bounties/airdrops et les comptes d'exchange... Je serai curieux de savoir si cette fuite au final a débouché sur des vols.
Dans l'article qu'ils ont publié aujourd'hui ils confirment qu'ils ont bien envoyé leur mailing par batch de 1000 adresses précisement.
Quote
To handle this, the tool was quickly rewritten to send single SendGrid API calls in batches of 1,000 addresses.
Ils disent aussi qu'ils ont bloqué toute tentative de retrait provenant d'une nouvelle IP ou vers une nouvelle adresse Bitcoin.
Quote
We cancelled requests from accounts that (i) did not have two-factor authentication, (ii) were withdrawing to a previously unseen Bitcoin address, (iii) were submitted with previously unseen new IP address, and (iv) were made after the email address disclosure had occurred.
Et ils confirment qu'ils ont fait un password reset de tous les comptes leakés qui n'avaient pas le 2FA
Quote
As it became clear that several groups were working to collate BitMEX email addresses in order to attempt to compromise them, BitMEX engineers forced a password reset for all users with balances and without Two-Factor devices. Affected users were notified via email
Enfin ils indiquent qu'on peut demander un changement d'adresse mail auprès du support
Quote
BitMEX Support (contact here) is working shifts with extra agents, continuing to handle customer requests to change email addresses, answer questions, and provide security assessment and advice.
D'après ce qu'ils avancent la faille proviendrait du fait qu'ils n'avaient effectué aucun mailing depuis 2ans et qu'ils ont dû adapter leur logiciel maison en urgence pour effectuer celui-ci... sans même faire de tests élémentaires
Quote
It was not immediately understood that the API call would create a literal concatenated “To:” field, leaking customer email addresses. As soon as we became aware, we immediately prevented further emails from being sent and have addressed the root cause.
En revanche contrairement aux spéculations, ils semblent n'avoir viré personne, en tous cas aucun ingénieur.
Quote
BitMEX is a company that takes engineering seriously, and we are disappointed that this lapse in care has resulted in unwanted disclosure for our customers. We believe that processes, not engineers, are to blame for these failures. Our processes failed here. We are working around-the-clock to revamp them and to ensure that even the simplest-looking code changes are put under strict review.
https://blog.bitmex.com/email-privacy-issue-what-is-happening-and-how-can-we-help/

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

      .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!