Pages:
Author

Topic: Urgente ataque a inputs.io (Read 2689 times)

hero member
Activity: 952
Merit: 1005
frantorres_995 at socialmedia
November 07, 2013, 01:26:47 AM
#59
Me reafirmo en todo lo dicho copia mala de una gran servicio convertida en Scam. Visto su otro sitio no me sorprenderia que se haya auto-hackeado, ejem.  Wink


Animo a los afectados.
hero member
Activity: 910
Merit: 1000
November 06, 2013, 10:43:11 PM
#58
http://www.reddit.com/r/Bitcoin/comments/1q2law/inputsio_hacked_and_shutdown_4100_btc_stolen/

En la página de Inputs.io:

Quote
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Two hacks totalling about 4100 BTC have left Inputs.io unable to pay all user balances. The attacker compromised the hosting account through compromising email accounts (some very old, and without phone numbers attached, so it was easy to reset). The attacker was able to bypass 2FA due to a flaw on the server host side.

Database access was also obtained, however passwords are securely stored and are hashed on the client. Bitcoin backend code were transferred to 10;[email protected]:[email protected] (most likely another compromised server).

What about my coins there? If you stored more than 1 BTC, send an email to [email protected] with a Bitcoin address (preferably, an offline, open source light/SPV wallet like Multibit or Electrum). Use the same email you're using on Inputs. Please don't store Bitcoins on an internet connected device, regardless of it is your own or a service's.

I know this doesn't mean much, but I'm sorry, and saying that I'm very sad that this happened is an understatement.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iQEcBAEBAgAGBQJSeuZ9AAoJEB7FawRj3T8Th5QH/iapt2DUuyy1j7t51y1N1LOk
+Gu5fdIAV8molXnv+InMQvxtfxWfc7zKiROSP6Zv1cXdvMrCyzKP+SnTEFshIa+0
j2FYOgLeMNmsPSw8yeR1O8vJieYlK+7imEZL4nRKA+O+mjqCT1nTCtBUAVcYQ8Uu
O6BoNLkgT8z/1ZTfw+OK4t2kw9KcC317JOv3yVugfA3xCn4HbKPRP2yFIKR49C7L
w7C2h3L1jHqLerQNjbowcyKH83BFJ2IB0cFZFFCLBI+8NQcUIcIFymxrxUV73Rqa
xlMPX2rPFcIj6yz0ABl1t2rwY2DGOvc33MYCzX82CumLx/qAXCd2uF/jG6fzQ5M=
=Ip/9
-----END PGP SIGNATURE-----
sr. member
Activity: 294
Merit: 250
November 06, 2013, 11:07:10 AM
#57
Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.
Solo afecta a los que teníamos activada la API. Si no la tienes activada estas seguro.
Bueno ahora esta la API desactivada por lo tanto si no te robaron ya no lo harán, hasta la próxima claro.

Hola Haztecoin, disculpame la "preguntonta" pero ¿qué es la API? y cómo se si mi wallet la tiene activada o no?

Gracias
Ahora están todas desactivadas.
Si fuiste a "Security" y le distes a generar una "Key API" Activaste el API
hero member
Activity: 868
Merit: 1009
Dave
November 06, 2013, 08:49:03 AM
#56
Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.
Solo afecta a los que teníamos activada la API. Si no la tienes activada estas seguro.
Bueno ahora esta la API desactivada por lo tanto si no te robaron ya no lo harán, hasta la próxima claro.

Hola Haztecoin, disculpame la "preguntonta" pero ¿qué es la API? y cómo se si mi wallet la tiene activada o no?

Gracias
full member
Activity: 163
Merit: 100
Luk, soy tu padreeee
November 06, 2013, 04:25:08 AM
#55
¿que os parece la situación de Inputs.io y sobre todo lo de COINLENDERS?

Os cuento: parece ser que a Tradefortress (el administrador y propietario de ambos sitios)
le estaban diciendo que lo de COINLENDERS BANK podría tener implicaciones negativas en
la USA.

Por eso hace unos días cambiaron algunas cosas, y ahora dicen que se trata solo de una "DEMO"
En el foro, el propio TF, al igual que en la propia página de CL, dice que COINLENDERS es solo
una DEMO de un SCRIPT bancario que tiene en venta por 54 BTC, de forma que todo lo que ocurre
allí no es real.

Yo al principio me asusté porque tengo unos pocos bitcoins en un depósito. Pero varios usuarios
(no TF) me dijeron que todo sigue igual, que se siguen pagando intereses y que lo que han hecho
es un lavado de cara para que no le cierren el sitio.

Mucha gente llevada por el pánico, ha sacado sus fondos de CL y han dejado los "wallet" vacíos.
Yo intenté hacer un pequeño reintegro y han tardado casi 10 días en darmelo...

En fin, que no las tengo todas conmigo...
Y ahora lo del API de Inputs.io... ¿no estaremos poniendo los huevos en una cesta de aficionados?

 Huh
sr. member
Activity: 294
Merit: 250
November 06, 2013, 04:14:28 AM
#54
Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.
Solo afecta a los que teníamos activada la API. Si no la tienes activada estas seguro.
Bueno ahora esta la API desactivada por lo tanto si no te robaron ya no lo harán, hasta la próxima claro.
hero member
Activity: 868
Merit: 1009
Dave
November 05, 2013, 07:40:30 PM
#53
Ah!, me había olvidado de tu cuenta... entra ahora y fíjate.  Grin


PD = Esto es un chiste. Si te falta bitcoins no he sido yo !!  Cheesy

Ja ja, Argen querido! cómo andas amigo! con vos hice las mejores operaciones en mucho tiempo. Guardo un grato recuerdo de tu persona. Espero que estes de lo mejor.
Te mando un gran abrazo!
David
full member
Activity: 146
Merit: 100
Bitcoins to Argentine
November 05, 2013, 07:37:32 PM
#52
Ah!, me había olvidado de tu cuenta... entra ahora y fíjate.  Grin


PD = Esto es un chiste. Si te falta bitcoins no he sido yo !!  Cheesy
hero member
Activity: 868
Merit: 1009
Dave
November 05, 2013, 06:48:57 PM
#51
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.


Hola dserrano5, una pregunta que quedé un poco mareado...
Si yo me abro una cuenta en blockchain desde mi casa y mando bitcoins a esa cuenta. ¿qué es lo que se almacena en el navegador?
Porque yo he probado entrar por otros navegadores desde otras computadoras citas en otros lugares, y accedo a mi cuenta perfectamente, y puedo cobrar, pagar, etc.
Gracias y disculpen el desvio pero no entiendo esto que se acaba de decir.
En el navegador no se almacena nada. Seguramente se refiere a que todos los cálculos se realizan en el navegador, que no es lo mismo.

En realidad SI guarda algo el navegador... Guarda un "identificador" que es una clave bastante larga. Yo no se mucho de esto, pero creo que puede tener algún dato implícito que es el que traslada el usuario cuando cambia de navegaror.. ¿o estoy delirando mucho?

Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.
legendary
Activity: 1974
Merit: 1030
November 05, 2013, 03:52:08 PM
#50
En el navegador no se almacena nada. Seguramente se refiere a que todos los cálculos se realizan en el navegador, que no es lo mismo.

Sí, acabo de caer en la cuenta. Estaba pensando en el almacenamiento permanente que tienen los navegatas, pero esto no casa con irse a casa del vecino y usar bc.info desde allí.
sr. member
Activity: 294
Merit: 250
November 05, 2013, 03:39:50 PM
#49
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.


Hola dserrano5, una pregunta que quedé un poco mareado...
Si yo me abro una cuenta en blockchain desde mi casa y mando bitcoins a esa cuenta. ¿qué es lo que se almacena en el navegador?
Porque yo he probado entrar por otros navegadores desde otras computadoras citas en otros lugares, y accedo a mi cuenta perfectamente, y puedo cobrar, pagar, etc.
Gracias y disculpen el desvio pero no entiendo esto que se acaba de decir.
En el navegador no se almacena nada. Seguramente se refiere a que todos los cálculos se realizan en el navegador, que no es lo mismo.
hero member
Activity: 868
Merit: 1009
Dave
November 05, 2013, 03:35:43 PM
#48
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.


Hola dserrano5, una pregunta que quedé un poco mareado...
Si yo me abro una cuenta en blockchain desde mi casa y mando bitcoins a esa cuenta. ¿qué es lo que se almacena en el navegador?
Porque yo he probado entrar por otros navegadores desde otras computadoras citas en otros lugares, y accedo a mi cuenta perfectamente, y puedo cobrar, pagar, etc.
Gracias y disculpen el desvio pero no entiendo esto que se acaba de decir.
sr. member
Activity: 294
Merit: 250
November 05, 2013, 11:46:29 AM
#47
Creo que el tema esta evolucionando a algo distinto al del origen.
Es curioso pero dentro de 20 mensajes más estaremos hablando de que S.O. es más seguro.

Parece que el problema esta en la api de inputs.io no han accedido a los servidores y las claves siguen siendo validas.

Respecto a si es más o menos seguro tenerlo en internet o en local depende de la gente que lo usa, en mi caso es más seguro en local en otros casos seria más seguro en internet, para la mayoría de la gente que no tiene demasiados conocimientos de internet y con windows, tenerlo en local es que le roben si o si.
Lo bueno de inputs.io es que las transacciones son instantáneas entre los usuarios, además es muy fácil de usar para la gente.
hero member
Activity: 952
Merit: 1005
frantorres_995 at socialmedia
November 05, 2013, 10:35:23 AM
#46
Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador.
Las claves no se almacenan, se utilizan para desencriptar tu wallet en tu navegador pero no se almacenan.

Si sigues el hilo, verás que estamos hablando de las claves privadas de las direcciones bitcoin. Tienen que estar almacenadas.

Corto el rollo ya. Te regalo la última palabra.

Las claves privadas de tu wallet se almacenan encriptadas protegidas por almenos una contraseña. Encriptada = casi inaccesible. Tan inaccesible como tus bitcoins sin tu clave privada.  Creo que estamos de acuerdo en casi todo salvo en lo seguro que es algo que se guarda encriptado.
legendary
Activity: 1974
Merit: 1030
November 05, 2013, 10:17:42 AM
#45
Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador.
Las claves no se almacenan, se utilizan para desencriptar tu wallet en tu navegador pero no se almacenan.

Si sigues el hilo, verás que estamos hablando de las claves privadas de las direcciones bitcoin. Tienen que estar almacenadas.

Corto el rollo ya. Te regalo la última palabra.
hero member
Activity: 952
Merit: 1005
frantorres_995 at socialmedia
November 05, 2013, 10:01:11 AM
#44
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.

Las claves no se almacenan, se utilizan para desencriptar tu wallet en tu navegador pero no se almacenan. Tu wallet permanece cifrada en sus servidores, no es accesible para ellos, ellos no saben ni siquiera cuanto tienes, solo es accesible para ti.

Mi mujer no es mia como propiedad pero es accesible solo para mi (creo), por tanto es MI mujer  Wink. Desconfiar de la criptografia cuando hablamos de una moneda basada en ella es muy contradictorio.
legendary
Activity: 1974
Merit: 1030
November 05, 2013, 09:40:21 AM
#43
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.
hero member
Activity: 952
Merit: 1005
frantorres_995 at socialmedia
November 05, 2013, 09:35:13 AM
#42
¿Una wallet en linea no es segura? Generalmente no, salvo que sea opensource, tenga doble sistema de cifrado (Una contraseña para acceder otra contraseña para retirar) además de doble autentificación con una tercera parte segura (Google Authentificator, Yubikey), y aún así hacer backups periódicos.

Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.

No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-. Y sí es eso lo que le hace diferente, que sumado a todo lo demás le hace único (A diferencia por ejemplo de la copia mala del tema inicial que hemos desvirtuado).
legendary
Activity: 1974
Merit: 1030
November 05, 2013, 08:39:30 AM
#41
¿Una wallet en linea no es segura? Generalmente no, salvo que sea opensource, tenga doble sistema de cifrado (Una contraseña para acceder otra contraseña para retirar) además de doble autentificación con una tercera parte segura (Google Authentificator, Yubikey), y aún así hacer backups periódicos.

Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.
hero member
Activity: 952
Merit: 1005
frantorres_995 at socialmedia
November 05, 2013, 08:30:46 AM
#40
luego tendrás que conectar un pendiver, que puede estar infectado

Entonces, como el pendrive puede estar infectado, da igual, me ahorro todas las molestias! Mantengo la pasta en blockchain.info y ya está!

Además lo del BadBios no está totalmente confirmado.


 Grin Grin
Estamos hablando de proteger una cryptomoneda, pero poniendo en duda los medios -que con criptografia- nos permiten tenerlo seguro en linea y diciendo que el único modo de tenerlo seguro es bajo el colchon. Cuanto menos es Curioso.

Los nuevos que me lean:

¿Siempre es más seguro un cliente sin conexión que en línea? Sí, es mas seguro. Pero ten cuidado con todo aquello que descargas, instalas ó incluso con las web que visitas. Y aun así necesitaras tener de algún modo un backup.

¿Una wallet en linea no es segura? Generalmente no, salvo que sea opensource, tenga doble sistema de cifrado (Una contraseña para acceder otra contraseña para retirar) además de doble autentificación con una tercera parte segura (Google Authentificator, Yubikey), y aún así hacer backups periódicos. Solo entonces se puede considerar como -segura- aunque no al 100% pero casi.  

Pages:
Jump to: