Nowy sposób na kradzież Twoich tokenów?
Nieraz słyszeliśmy o różnych kradzieżach środków z portfeli użytkowników ale takiego przypadku jeszcze nie publikowaliśmy. Ian Balina, jeden z bardziej znanych inwestorów i influencerów na Youtubie, kończył recenzję jednego z ICO. Jednak jak się okazało, w końcówce transmisji, miał on problemy z zapisaniem prezentowanego arkusza kalkulacyjnego i musiał się ponownie zalogować na serwis Google. Jak pózniej dowiedział się, z niewyjaśnionych przyczyn ukradziono jego tokeny o wartości 2 milionów dolarów na portfelu. Poprosił kryptospołeczność o pomoc na Twitterze.
https://twitter.com/DiaryofaMadeMan/status/985790965842698240?ref_src=twsrc%5Etfw&ref_url=https%3A%2F%2Fwww.ccn.com%2Fian-balina-hacked-for-millions-through-old-email-account%2F&tfw_creator=WrittenCraft&tfw_site=Cryptocoinsnsews
W środkach bezpieczeństwa było kilka słabych punktów, które, jak sam przyznaje, były przyczyną włamania. Jego główne konto e-mail zostało wsparte starszym kontem e-mail uczelni, od dawna porzuconym. W przypadku utraty przez Balinę hasła do jego konta, konto uczelni może zostać użyte do zresetowania hasła. Hakerzy odkryli to konto i uzyskali do niego dostęp, używając funkcji resetu hasła i dostępu do głównego konta, na którym natknęli się na drugą poważną lukę w zabezpieczeniach. Balina przechowywał osobiste i publiczne klucze potrzebne do uzyskania dostępu do swoich zasobów cyfrowych w popularnym programie do przechowywania w chmurze Evernote, zabezpieczonym hasłem. Po uzyskaniu dostępu do głównej skrzynki e-mail, była to prosta kwestia zresetowania hasła Evernote i uzyskania dostępu do portfela wartego miliony dolarów. Balina wspomina o otrzymywaniu wiadomości w docelowym koncie w college’u, mówiąc:
„Pamiętam, że otrzymałem wiadomość e-mail o tym, że została naruszona skrzynka i próbowałem skontaktować się z moim działem bezpieczeństwa w college’u, aby rozwiązać problem, ale nie udało mi się tego szybko załatwić i zrezygnowałem z tego, sądząc, że to tylko stary e-mail „
Niektórzy stwierdzają, że historia ta może być nieprawdziwa, gdyż chce on uniknąć opodatkowania w USA, jednak druga strona uważa, że taki trik nie byłby skuteczny. Sam zainteresowany zdementował te plotki:
https://twitter.com/DiaryofaMadeMan/status/986091754792390656
A co Wy sądzicie o całej sprawie? Zapraszamy do dyskusji! Pamiętajcie o zachowaniu bezpieczeństwa w dostępie do Waszych kluczy prywatnych do portfeli.
Mogło zatakować samo google nieprzyjazne kryptowalutom lub wynajęły go banki aby teraz sprytnie pokazywał wady kryptowalut. Banki mogły dużo mu zapłacić.Popełnił tak dużo błędów ,że odpuszczając bezpieczeństwo skrzynki wydaje się to dziwne i przy takich kwotach . Nawet wynajmując kogoś do odzyskania i bezpieczeństwa ,hakowania mu się opłaca.
Mam nadzieję, że Evernote straci przez to użytkowników, którzy znajdą (albo sami stworzą) jakąś alternatywę z pełnym szyfrowaniem, a nie tylko klient-serwer.