Topic: rubati 24 bitcoin su bitstam. 2FA+password lunga 20 + email di conferma prelievo - page 2. (Read 8768 times)

Personalmente reputo improbabile l'inside job e propendo sull'attacco di un hacker esterno, a fronte del fatto che hai scritto che avevi il pc infetto.
A seguito della tua richiesta, posto i log (solo quelli relativi alla security) del mio account. Ritengo il log congruente con la mia effettiva attività sull'account. La riga "02/24/14 08:05 PM Logged in" che è senza "using two-factor authentication" si spiega perchè effettivamente avevo temporaneamente disabilitato il 2FA.

A Bitstamp si può tuttavia addebitare il fatto che il log non è completo/preciso (mancano quantomeno la riga di disabilitazione del 2FA e anche quella della primissima abilitazione del 2FA)

03/11/14 06:07 AM Logged in using two-factor authentication
03/10/14 09:27 PM Logged in using two-factor authentication
03/09/14 08:17 AM Logged in using two-factor authentication
03/06/14 09:02 AM Logged in using two-factor authentication
03/05/14 08:37 AM Logged in using two-factor authentication
03/03/14 11:36 AM Logged in using two-factor authentication
03/03/14 09:37 AM Logged in using two-factor authentication
03/01/14 09:58 AM Logged in using two-factor authentication
02/28/14 06:07 PM Logged in using two-factor authentication
02/28/14 06:04 AM Logged in using two-factor authentication
02/27/14 08:49 PM Logged in using two-factor authentication
02/27/14 03:14 PM Logged in using two-factor authentication
02/27/14 11:23 AM Logged in using two-factor authentication
02/27/14 11:19 AM Logged in using two-factor authentication
02/27/14 12:13 AM Logged in using two-factor authentication
02/24/14 08:11 PM Logged in using two-factor authentication
02/24/14 08:10 PM Enabled two-factor authentication
02/24/14 08:05 PM Logged in
02/22/14 10:52 AM Logged in using two-factor authentication
02/22/14 07:58 AM Logged in using two-factor authentication
02/21/14 07:47 PM Logged in using two-factor authentication
02/11/14 07:10 PM Logged in
02/10/14 08:35 PM Logged in
01/19/14 10:09 AM Logged in
01/17/14 07:58 AM Logged in
01/12/14 09:31 PM Logged in
01/08/14 08:21 AM Logged in
01/08/14 12:26 AM Logged in
01/06/14 12:37 PM Logged in
01/04/14 05:58 AM Logged in
01/03/14 03:23 PM Logged in
01/03/14 09:39 AM Logged in
01/02/14 05:12 PM Logged in
01/02/14 12:12 PM Logged in
01/02/14 12:09 PM Logged in
01/02/14 09:20 AM Logged in
01/02/14 07:35 AM Logged in
01/02/14 07:25 AM Logged in
01/01/14 11:25 PM Logged in
01/01/14 10:56 PM Logged in
12/27/13 08:36 PM Logged in
12/27/13 08:15 PM Logged in
12/27/13 07:47 PM Logged in
12/27/13 07:30 PM Logged in
12/27/13 05:02 PM Logged in
12/27/13 10:49 AM Logged in
12/27/13 10:38 AM Logged in
12/25/13 01:43 PM Logged in
12/25/13 11:15 AM Logged in
12/24/13 09:56 PM Logged in
12/24/13 05:15 PM Logged in
12/24/13 03:26 PM Logged in
12/24/13 02:33 PM Logged in
12/24/13 11:45 AM Logged in
12/24/13 11:08 AM Logged in
12/23/13 09:30 PM Logged in
12/23/13 07:38 PM Logged in
12/21/13 06:30 PM Logged in
12/20/13 10:02 PM Logged in
12/19/13 08:42 PM Logged in
12/19/13 10:31 AM Logged in
12/18/13 09:36 PM Logged in
12/18/13 11:15 AM Logged in
12/18/13 07:33 AM Logged in
12/16/13 04:48 PM Logged in
12/15/13 08:40 PM Logged in
12/12/13 07:48 PM Logged in
12/11/13 01:11 PM Logged in
12/11/13 12:43 PM Logged in
12/10/13 09:10 AM Logged in
12/09/13 09:41 PM Logged in
12/09/13 03:55 PM Logged in
12/09/13 07:58 AM Logged in
12/08/13 09:10 PM Logged in
12/08/13 06:27 AM Logged in
12/07/13 07:50 AM Logged in
12/06/13 09:50 AM Logged in
12/05/13 08:34 AM Logged in
12/04/13 03:40 PM Logged in
12/04/13 02:25 PM Logged in
12/04/13 10:16 AM Logged in
12/03/13 11:06 AM Logged in
12/03/13 08:33 AM Logged in
12/02/13 11:41 AM Logged in
12/02/13 09:26 AM Logged in
12/02/13 07:12 AM Logged in
12/01/13 04:43 AM Logged in
11/30/13 01:42 PM Logged in
11/30/13 08:40 AM Logged in
11/29/13 10:18 PM Logged in
11/29/13 06:34 PM Logged in
11/29/13 02:55 PM Logged in
11/29/13 01:04 PM Logged in
11/29/13 08:13 AM Logged in
11/28/13 04:24 PM Logged in
11/28/13 03:28 PM Logged in
11/28/13 03:22 PM Logged in
11/28/13 01:59 PM Logged in
11/28/13 06:48 AM Logged in
11/27/13 07:56 PM Logged in
11/27/13 07:45 PM Logged in
11/27/13 02:41 PM Logged in
11/27/13 07:22 AM Logged in
11/27/13 12:28 AM Logged in
11/26/13 04:59 PM Logged in
11/26/13 12:40 PM Logged in
11/26/13 10:52 AM Logged in
11/26/13 10:51 AM Changed user password
11/26/13 10:51 AM Logged in
11/26/13 08:49 AM Logged in

L'ultima mail é del 16/4 e riguarda un deposito. Le altre sono tutte da noreply. perché?

24 BitCoin sono una bella somma, qua gli amministratori del sito ne dovranno rispondere.
Hai contattato chi di dovere?

In effetti una cosa strana l'ho riscontrata anch'io ma è all'opposto rispetto alla tua...
In pratica mi riporta alcuni log-in eseguiti con la 2FA ma risalenti a giorni prima che io abilitassi la 2FA  
Però dopo l'abilitazione mi dice sempre "Logged in using two-factor authentication" come è giusto che sia.
Probabilmentela la history di bitstamp non è affidabile sotto questo aspetto.

Hai una lista delle email che hai ricevuto nelle ultime settimane da [email protected]? Potresti pubblicare gli oggetti delle email in questione?

Ragazzi,
Mi potete aiutare solo voi perché se é un inside job potrebbero usare il ticket che ho fatto per cancellare le tracce.

Chi di voi usa la 2FA su bitstamp: cosa legge nella sua history riguardo ai login??

Posso confermare che sin dall'inizio 17/12/2012 il mio account reca SOLO "logged in" nell'hystory.
Comincia a menzionare "logged in using two factor authentication" solo il giorno del furto!!!! 

In Inglese si dice WTF in italiano dico MACCHECCAZZO???

Giuro sui bitcoin che ho SEMPRE usato la 2FA su Bitstamp o meglio così mi hanno sempre fatto credere.

Qualcuno che usa bitstamp mi riesce a confermare che dal 22/2 hanno cominciato a riportare i logins in modo diverso o solo io sono stato ingannato dall'inizio?

Allego screenshot del mio debutto su bitstamp:

Ecco il mio ticket a bitstamp:
One important question:
In my "history" page I didn't notice that my previous login were mentioned as "logged in" and not "logged in using two factor authentication".

I HAVE ALWAYS USED TWO FACTOR AUTHENTICATION TO OPERATE IN BITSTAMP.

I beg your pardon for the caps but how would you explain this??

Allego per voi la foto della pagina dell'history:

2014-02-20 10:57:26   93.149.37.70   Logged in

Questo é l'ultimo login prima del prelievo.
C'é una cosa che però non mi spiego:
Come vedete nella "storia" non c'é menzione della doppia autenticazione (mentre il giorno del furto c'é scritto "logged in using two factor authentication).
Purtroppo ho l'ipad e non posso copiare più di una riga alla volta ma credetemi se vi dico che nella mia storia su bitstamp tutti i login appaiono senza la menzione della doppia autenticazione.

Potete confermarvi che due settimane fa anche voi avevate le voci di login senza la menzione?
É assurdo ma se ho passato mesi pensando di doppio autenticarmi ma la videata era finta ai ladri é stato sufficiente intercettare le credenziali!!!

Provo a chiedere a bitstamp e vi riferisco.

Grazie per la solidarietà.
Sono esperto di informatica ma la sicurezza ho cominciato a considerarla coi bitcoin.

Ciò che scrivi ha senso per me.
Come ho scritto ho avuto il mio primo malaware un mese fa cointhief preso con bitstealth. Avevo cancellato l'infezione seguendo le istruzioni ma avrei dovuto formattare il disco rigido e reinstallare mac (cosa che ho fatto ieri l'altro ( a buoi scappati).
Posto appena riesco la parte di "hystory" di Bitstamp precedente al furto in modo che possiamo discutere se e come hanno potuto tenere in piedi la sessione "rubata". Sinceramente non ricordo l'accesso più recente pre furto.

Siete gli unici con cui parlo in questo dettaglio. Per il resto parlo a "utonti" che del bitcoin mi dicono solo "mbeh?". Poi ci sono i curiosi e gli intelligenti ma sempre abbastanza ignoranti dal punto di vista informatico.
Vedo poco probabile un social hacking se non da internet (in quanto a privacy sono abbastanza un gruviera)...

Lo aspetto da sei mesi (o otto ho perso il conto) e comunque da un exchanger si passa e lì non serve a una cippa.

PRE-ORDERS closed 

Suggerirei http://www.bitcointrezor.com/ per il futuro

Correggetemi se sbaglio..

Con qualche accorgimento gli exchanger possono essere RELATIVAMENTE sicuri, tipo:

1) Non tenere grosse somme di denaro online
2) Crearsi un account gmail, che collegheremo poi al conto dell'exchanger, a cui si accederà SOLO da pc "sicuri" o di familiari ecc  con la doppia autenticazione via sms ad UN VECCHIO CELL DIVERSO DA QUELLO A CUI COLLEGHEREMO GOOGLE AUT X ENTRARE NELL' EXCHANGER.
3) Pass exchanger TOSTA
4) Impostare google authenticator collegato al nostro cell di uso quotidiano
5) Non collegare i cellulari ai pc che usiamo normalmente per smanettare su internet
6) Cambiare la pass 1 o 2 volte al mese
7) Impostare un limite al prelievo giornaliero come su TRT e controllare le transazioni quotidianamente.

In questo modo:
1) se ci bucano il pc e scoprono in qualche modo la pass c'è sempre google auth
2) è improbabile che ci bucano i cellulari visto che non sono riconducibili al pc e nemmeno alla mail dell'account exchanger
3) se per caso bucano cell e pc o in altro modo riescono ad avere pass e codice padre di google aut e riescono ad entrare possono prelevare solo quanto stabilito nel punto 7 e con il controllo giornaliero possiamo chiedere di bloccare tutto perdendo così solo una parte dei nostri btc.

Sono ormai un antidiluviano .........  

Grazie

J

Ciao,
in teoria hai ragione, in pratica quella scritta significa tutto e niente.
Detta in breve: quando io passo i giusti header al browser e ci allego la sessione che non è scaduta, il sistema scrive sul db quello che vuole, ma io intanto sono dentro al sistema.
Quella scritta sopra riportata sembra il "classico" log di una tabella del DB adibita proprio alla registrazione dei passaggi che vengono fatti, ma non è un controllo vero e proprio.
saluti,
Tom

Io non sono + aggiornato da tempo sull'argomento sicurezza, ma quindi secondo te sono successe 2 cose :

- Gabridome ha chiuso il browser ed e' quindi uscito senza terminare la sessione che e' rimasta aperta

- La sessione e' rimasta su per 6 ore e l'hacker ha utilizzato il furto della sessione attiva per rientrare

Ma perche' il .log riporta che si e' loggato ?

* 2014-02-22 19:56:08   109.163.234.9   Logged in using two-factor authentication

In teoria non si e' mai disconnesso

Certo che anche Bitstamp, con tutti i problemi che ci sono , non e' che permettere sessioni cosi' lunghe
sia una manna per la sicurezza

Eurograbber pur con i dovuti distinguo , risale a + di un anno fa , qualcosa sul modus operandi avrebbe dovuto insegnare

Comunque sul PC incriminato, il trojan ci dovrebbe pur essere, o l'hanno programmato per potersi autoeliminare o addirittura l'hanno eliminato da remoto x coprire le tracce ?

Sarebbe interessante cercarlo prima di formattare tutto

J

Ciao gabridome,
ho letto adesso il tuo post iniziale.
Prima di tutto, mi spiace molto per quanto accaduto! Grazie per aver condiviso questa tua "triste" esperienza, servirà sicuramente a molti, in modo che non capiti più in futuro.

Passo velocemente all'analisi dell'attacco.
Premessa n.1: Per mancanza mia di tempo, non ho letto tutto il thread. Spero di non aver saltato tue ulteriori importanti informazioni sull'accaduto.
Premessa n.2: Non ho mai usato Bitstamp.

CASO #1: Attacco interno da parte di Bitstamp.
Percentuale di successo 5% (massimo).
In effetti, questa ipotesi non si può mai escludere, ne ho viste tante di situazioni del genere.
Gli ho dato una piccola percentuale per ricordarsi che tutto può sempre accadere, ma sinceramente non credo sia questo il tuo caso.

CASO #2: Attacco sullo smartphone.
Percentuale di successo 1% (e sono stato generoso).
Si, in teoria ed in pratica è possibile fare un attacco via smartphone, ma le variabili in gioco sono molte, troppe !!!
Non sto a "perdere" tempo nella spiegazione, anche qui non credo sia il tuo caso.

CASO #3: Attacco sulla macchina.
Percentuale di successo 94%.
Tenendo sempre a mente la premessa n.1 e n.2 (vedi sopra), dal log che hai pubblicato nel primo post, mi sa tanto che avevi un virus all'interno della macchina.
Dal tipo di attacco, il virus è riuscito a prelevare dal tuo computer i dati di sessione di Bitstamp.
Le domande che ti devi fare sono principalmente due:
1) Cosa hai installato sulla macchina prima di subire l'attacco ?
2) Quando ti connettevi a Bitstamp cliccavi sul pulsante "Esci" (oppure "Logout", "Chiudi", ecc...) ?
Ti è stata presa la sessione attiva che avevi sulla macchina, è stata usata quella per accedere la prima volta su Bitstamp e poi hanno cambiato la password in modo da avere libero accesso.
Vorrei farti notare che non mi interessa se hai una password di 1.245 caratteri con simboli speciali e 45 controlli 2FA....    una volta che ti sei autenticato a sistema e ti attivo la sessione, sei dentro... punto e basta.

Questo tipo di attacco è interessante per due fattori:
1) Chi attacca la macchina della "vittima" deve controllare che l'utente rimanga attivo in sessione. L'attacco quindi non può essere portato dopo alcuni giorni, ma deve essere effettuato nel giro di alcune ore. Non so quanto sia persistente la sessione di Bitstamp.
2) Bitstamp NON controlla in sessione l'IP dell'utente! Si vede che alcuni utenti che hanno l'IP che cambia nel corso di sessione si sono lamentati e Bitstamp si è quindi adeguato.

Spero di esser stato di qualche aiuto,
saluti,
Tommaso

Il problema secondo me, non e' tanto custodire i BTC in modo sicuro, ma il fatto che prima o poi si debba interagire con la rete se li vogliamo usare/convertire ecc.ecc.

Questo e' a mio modesto giudizio, l'anello veramente debole della catena

E sono convinto che la' fuori, i malandrini hanno oramai fiutato la vittima e si stiano organizzando :

I piu' capaci magari pilotati da organizzazioni di malaffare, tenteranno colpi relativamente difficili ma grossi, ma il grave è che sicuramente scriveranno codice specializzato orientato al furto di btc da computer o palmari : pochi soldi singolarmente , ma relativamente sicuri e spalmati su tante persone

Comunque gabridome , + lo leggo e + il tuo caso e' parecchio sospetto :
o qualcuno ti ha preso di mira appositamente e sei stata la cavia di un'esperimento ben congegnato, oppure hanno collimato troppe cose che non avrebbero dovuto , il che non mi convince 

Lavori o frequenti o parli con persone capaci in termini informatici, ma che ritieni al di sopra di ogni sospetto ?  

J