Topic: Bitmex - Leak données utilisateurs (Read 283 times)

Dans l'article qu'ils ont publié aujourd'hui ils confirment qu'ils ont bien envoyé leur mailing par batch de 1000 adresses précisement.
Ils disent aussi qu'ils ont bloqué toute tentative de retrait provenant d'une nouvelle IP ou vers une nouvelle adresse Bitcoin.
Et ils confirment qu'ils ont fait un password reset de tous les comptes leakés qui n'avaient pas le 2FA
Enfin ils indiquent qu'on peut demander un changement d'adresse mail auprès du support
D'après ce qu'ils avancent la faille proviendrait du fait qu'ils n'avaient effectué aucun mailing depuis 2ans et qu'ils ont dû adapter leur logiciel maison en urgence pour effectuer celui-ci... sans même faire de tests élémentaires
En revanche contrairement aux spéculations, ils semblent n'avoir viré personne, en tous cas aucun ingénieur.
https://blog.bitmex.com/email-privacy-issue-what-is-happening-and-how-can-we-help/

Oui c'est certain qu'il doit y en avoir des faux. Et oui il y a eu plusieurs vagues d'envoi.

Sinon je me faisais la réflexion qu'ils (potentiels hackers) n'ont pas à attendre forcément ce genre de leak pour collecter des adresses mails. Rien qu'en parcourant les spreadsheets de bounties je suis sûr que certains utilisent la même adresse pour les bounties/airdrops et les comptes d'exchange... Je serai curieux de savoir si cette fuite au final a débouché sur des vols.

Ca ne serait pas impossible qu'ils aient envoyé plusieurs batchs, ces fichiers ne doivent contenir que le batch dont je fais partie. Après il y a peut-être(sans doute même) de faux listings qui doivent circuler aussi.

J'avais lu 22k mails pour ma part et cet article parle de 30k ! https://cointelegraph.com/news/hackers-take-over-bitmex-twitter-but-customer-funds-reportedly-safe

Merci pour ce lien très didactique. Du coup là ça va partir en HS, donc il faudrait peut-être mieux poster dans un sujet oú on en a déjà parlé, mais si les rainbow tables marchent très bien pour cracker les mdp Windows(je peux te le confirmer   ) ou en tous cas les anciennes versions, pour les mdp de sites en ligne c'est différent car comme il est rappelé dans ton lien, les contre-mesures de protection sont assez simples, il suffit d'utiliser un pepper, c'est-à-dire une clé utilisée en plus pour le hachage et/ou un salt(une string random ajoutée). Et comme le dit LeGaulois là le mec il dit avoir récupéré des listings en clair... probablement achetés ou échangés sur le darknet.

Merci pour le lien ! Je ne connaissais pas et c'est très intéressant. Du coup j'ai trouvé une autre source d'explications de ces 'rainbow tables'. Je pose ça ici en complément  https://www.ionos.fr/digitalguide/serveur/securite/rainbow-tables/


Ouais j'avais vu ça aussi mais j'ai préféré ne pas en rajouter encore, ça faisait beaucoup de news à la fois dont certaines pas encore bien vérifiées (comme ce compte 'Bitmexdatabase1'). Mais les  captures d'écran au dessus sont intrigantes.... D'où ma question en op : hack ou fuite ? Ou les deux ?  

Ils se sont fait hacker leur Twitter.
https://www.ccn.com/bitmex-twitter-hack-incites-ominous-warning-take-your-bitcoin-run/

Bitmex va bien et tout tourne, mis à part la "boulette" où ils ont révélés l'adresse email de plein de clients pour envoyer une newsletter à la noix.
Ça c'est vraiment moyen en revanche et je me demande si il y aura des conséquences.

Je vois mal Bitmex mentir sur quelque chose comme ca. Comme par hasard le mec dit ca le jour même de cette 'erreur logicielle', sur un compte bidon. C'est juste un troll.


parce que la majorité des personnes utilisent le même mdp partout. Effectivement, l'autre personne n'a rien trouvé de special en fait, juste que les adresses emails sont attachées à un mdp en cleartext dans une autre base de données. Et j'aimerais bien savoir ce qu'il fait d'ailleurs avec ces autres BDD qu'il a 'collecté au fil du temps'. Si c'est pas un spammer c'est pas un white hat en tout cas.
 

Dans ce genre? ca date d'hier soir https://ip.bitcointalk.org/?u=https%3A%2F%2Fpbs.twimg.com%2Fmedia%2FEISguvNWkAAxFF-.png&t=606&c=WKUf5GvJb_kJRQ

J'ai aussi été un des destinataires de cet email.  


Là dans ce cas, ce n'est pas une base de données qui a leak.
Oui, si l'adresse email est présente dans d'autres BDD qui ont leak, et qu'il y'a le hash du mot de passe, on peut utiliser une rainbow table pour en déduire le MDP.
Après, il faut aussi que la 2FA n'aie pas été activée pour permettre une connexion directe au compte.

---

Oui on peut voir la liste des accès au compte mais comment est-ce que tu sais qu'ils bloquent la connexion si c'est exotique ?
Est-ce que c'est quelque chose qui t'es déjà arrivé ?

---

Gros bluff / fake imo.
Je vois pas en quoi la vérification de cette liste d'email est huge, et le staff de BitMex ne s'est pas fait hacké.
A moins qu'il y'aie eu une autre attaque en même temps, mais peu probable.

Au risque de ruiner sa e-reputation ?? Il a pas l'air de sortir de nul part non plus. A suivre 

Des followers, le nombre de personne qui font des faux concours, faux screen etc. Seulement pour avoir des followers je t'explique pas... Comme Saint-loup je suis plutôt mitigé.

Pour ma part j'ai tendance à ... le croire. Ca peut faire un peu peur en effet mais je ne voit pas ce qu'il à a gagner à inventer ça. Quand on lui demande sur twitter d'ou vient sa db de mdp il répond qu'il a 'collecté' ça ces dernières années (https://twitter.com/TheCrypt0Mask/status/1190348608878645250). Il a aussi mentionné 'cleartext passwords'. 

Non je peux confirmer qu'il ne s'agit pas d'un hack, ayant été destinataire du mail en question...
En revanche contrairement à ce que j'ai pu lire les adresses n'ont pas été ajoutées au champ CC au lieu de BCC, mais carrément au champ To.
Perso j'avais trouvé bizarre tous ces noms en destinataire mais j'avais bêtement cru qu'il s'agissait de membres du staff lol.
Je ne peux pas poster le mail ici, mais vous pouvez checker si votre adresse a été leakée sur https://haveibeenpwned.com ils sont à jour du leak, j'y ai trouvé mon adresse bitmex, elle figure dans 2 fichiers de 6000 et 7000 adresses qui se baladent sur le (clear) net.

---

Je ne sais pas ce qu'il entend par trouver le mdp correspondant mais je doute franchement de ça. D'après ce que je comprends il check si l'adresse existe dans d'autres leaks oú le mdp a fuité...
Et après, je ne sais par quel miracle il trouve soi-disant le bon mdp pour bitmex...  
Perso je doute franchement qu'il ait pu accéder à des comptes comme ça.

Déjà Bitmex check l'IP et l'user-agent de la connexion et bloque si c'est un point d'accès exotique, vous pouvez d'ailleurs voir la liste de toutes les tentatives d'accès à votre compte ici https://www.bitmex.com/app/activityLog et je peux vous dire que malgré le fait que mon mail ait été leaké il y a eu pour le moment zero tentative d'accès à mon compte (ce qui est assez surprenant d'ailleurs).

Ensuite, Bitmex a très rapidement réagi (encore heureux certes) et a reseté tous les mdp des adresses leakées.
Perso j'ai vu que mon mdp avait été reseté avant d'apprendre la news, ce qui m'a fait me demander si c'etait juste parce que mon mdp était trop ancien ou si ce n'etait pas une tentative d'attaque...  
Donc ce cryptomask bluffe un peu à mon avis.

J'aurai voulu poster dans le topic attribué à Bitmex mais ne l'ai pas trouvé.

Les adresses mail d'un grand nombre des utilisateurs de l'exchange ont fuité suite à un envoi massif de mails mal configuré. S'agit il d'un hack ou d'une erreur ?? Le propriétaire du compte twitter suivant https://twitter.com/Bitmexdatabase1, affirme lui être en possession de la fameuse database qu'il aurait hackée.



https://journalducoin.com/exchanges/bitmex-fuire-base-donnee-mail-utilisateurs/
https://fr.cryptonews.com/news/unfortunate-halloween-bitmex-data-leak-deribit-reimburses-bt-4729.htm

Par ailleurs, Binance a conseillé à ces utilisateurs de changer de mail s'il étaient également clients de Bitmex et que leur adresse a fuité. https://twitter.com/binance/status/1190176334837735425

Edit : A priori un français est parvenu a mettre la main sur des millers de ces adresses mails, a trouver le mdp correspondant ( ) à presque 200 d'entre elles et à envoyer des courriers pour prévenir chacun de ces utilisateurs ! Chapeau bas !

https://twitter.com/TheCrypt0Mask/status/1190229232288448513