Pages:
Author

Topic: WARNING Binance (Read 1181 times)

legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
July 19, 2019, 02:33:03 PM
#71
haveibeenpwned.com, che dio lo benedica!

non ricordo se ho account su binance, ma faccio un check
grazie

Gran sito!!! Ho aiutato anche un paio di amici a capire se le loro vecchie mail erano al sicuro e ovviamente almeno 2-3 siti sono risultati. Grazie ancora
legendary
Activity: 2562
Merit: 2640
July 17, 2019, 02:34:46 PM
#70
Dunque, premesso che stiamo parlando di un elenco in vendita su internet (presumo nel dark web), quindi può essere tutto e il contrario di tutto, a logica per me sta sicuramente vendendo il pacchetto email + password, perché il pacchetto si chiama proprio "Binance account", e un'email non è sufficiente per essere considerato un account. Ripeto, stiamo comunque parlando di aria fritta  Grin

Beh con la sola email puoi già sapere e quindi fare cose interessanti:
1) sapere che quell'email è associata ad un account binance ti consente di non sparare nel mucchio
2) se il file contiene 10mln di mail, vuoi che almeno un centinaio non abbiano la classica pwd  "12345"  oppure "password" ?   Grin


Ok scherzi a parte, lascio un link ad una cosa letta proprio oggi e che si aggancia al tema mail rubate e avviso conseguente:

https://www.bleepingcomputer.com/news/software/firefox-to-warn-when-saved-logins-are-found-in-data-breaches/

legendary
Activity: 2576
Merit: 2880
Catalog Websites
July 17, 2019, 09:13:05 AM
#69
Beh non è detto che ci siano anche le pwd: da tempo i siti "decenti"  (cioè non terra-terra) non salvano più le pwd ma solo un loro hash ed è poi quello che confrontano al login. Non so come funzioni Binance ma essendo un sito grosso e che tratta valori economici significativi voglio ben sperare che abbia un sistema di login almeno discreto.
Dunque, premesso che stiamo parlando di un elenco in vendita su internet (presumo nel dark web), quindi può essere tutto e il contrario di tutto, a logica per me sta sicuramente vendendo il pacchetto email + password, perché il pacchetto si chiama proprio "Binance account", e un'email non è sufficiente per essere considerato un account. Ripeto, stiamo comunque parlando di aria fritta  Grin
legendary
Activity: 3808
Merit: 2044
July 16, 2019, 06:43:51 AM
#68
L'indirizzo risulta presente in una lista che si chiama "Binance 10M accounts for sale", quindi l'hanno sicuramente preso da lì, e sicuramente il pacchetto include anche le password.

Beh non è detto che ci siano anche le pwd: da tempo i siti "decenti"  (cioè non terra-terra) non salvano più le pwd ma solo un loro hash ed è poi quello che confrontano al login. Non so come funzioni Binance ma essendo un sito grosso e che tratta valori economici significativi voglio ben sperare che abbia un sistema di login almeno discreto.



sì dovrebbero conservare le hash salate (salted), in modo da rendere più difficile il brute-force. Se hai scelto una password abbastanza forte, anche avendo a disposizione la hash non può essere craccata con semplici attacchi a dizionario o brute-force.
legendary
Activity: 2562
Merit: 2640
July 16, 2019, 06:12:30 AM
#67
L'indirizzo risulta presente in una lista che si chiama "Binance 10M accounts for sale", quindi l'hanno sicuramente preso da lì, e sicuramente il pacchetto include anche le password.

Beh non è detto che ci siano anche le pwd: da tempo i siti "decenti"  (cioè non terra-terra) non salvano più le pwd ma solo un loro hash ed è poi quello che confrontano al login. Non so come funzioni Binance ma essendo un sito grosso e che tratta valori economici significativi voglio ben sperare che abbia un sistema di login almeno discreto.


L'email di avviso la ricevi solamente se tu richiedi di riceverla se e quando un tuo indirizzo email viene compromesso, se fai solamente un controllo ti dirà solo se è stato compromesso, ma non riceverai mai nessuna email.

Questo non lo sapevo; hai fatto bene a specificarlo, grazie!


legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
July 16, 2019, 05:05:04 AM
#66
haveibeenpwned.com, che dio lo benedica!

non ricordo se ho account su binance, ma faccio un check
grazie
legendary
Activity: 2576
Merit: 2880
Catalog Websites
July 15, 2019, 09:12:56 PM
#65
Rispondo punto per punto perché stai facendo confusione:

Sono iscritto a Binance ma non ho ricevuto nessuna mail di avviso.
L'email che ho ricevuto non arriva da Binance, arriva da haveibeenpwned.com.

Quote
Però hai scritto una cosa interessante, quella che ho evidenziato in grassetto. Hai usato il plurale, vuoi dire che quell'indirizzo lo hai usato anche presso altri exchange ?
Sì, è l'indirizzo email specifico per gli exchange.

Quote
perché se così fosse l'indirizzo potrebbe essere stato rubato presso un altro exchange, non necessariamente Binance.
L'indirizzo risulta presente in una lista che si chiama "Binance 10M accounts for sale", quindi l'hanno sicuramente preso da lì, e sicuramente il pacchetto include anche le password.

Quote
Infine, giusto per incasinare le idee  (  Grin ) aggiungo che su  haveibeenpwned.com   avevo verificato altri indirizzi email che uso e almeno un paio erano risultati positivi, ma non ho mai ricevuto mail di avviso da   loro.
L'email di avviso la ricevi solamente se tu richiedi di riceverla se e quando un tuo indirizzo email viene compromesso, se fai solamente un controllo ti dirà solo se è stato compromesso, ma non riceverai mai nessuna email.

Quote
Boh: personalmente non ci penserei più di tanto, ovviamente dopo aver cambiato pwd + 2FA come hai già fatto.
Chiaro, io sono tranquillo, però mi sembrava giusto segnalarlo perché stai certo che anche qui dentro c'è gente che ancora oggi non usa la 2FA.
legendary
Activity: 2562
Merit: 2640
July 15, 2019, 02:06:37 PM
#64
Riuppo questo thread perché ho appena ricevuto una email di allerta dal sito https://haveibeenpwned.com, un sito gratuito che permette di verificare se la password del vostro indirizzo email è stata violata in qualche modo, e l'oggetto del messaggio è "Yours is one of 10,001 email addresses found in a paste titled "Binance 10M accounts for sale"". Qualcun altro è iscritto al servizio e l'ha ricevuta per caso? Perché immagino riguardi praticamente tutti gli iscritti a Binance, o quasi, no?

Preciso che l'email specifica che "An email address in a paste doesn't always represent a data breach so review the paste and determine if any data has actually been compromised then take appropriate action such as changing passwords."

Il file con tutti gli indirizzi termina con "Binance 10M accounts for sale 500BTC" e l'indirizzo email da contattare. Se sia una cosa seria o no, non lo so, ma il mio indirizzo è specifico per gli exchange e non lo uso da altre parti, eppure risulta in quella lista.....

Io ho sempre la 2FA da tutte le parti, ma per sicurezza ho appena cambiato la password di Binance, e vi consiglio di fare lo stesso.

Sono iscritto a Binance ma non ho ricevuto nessuna mail di avviso.
Ho anche controllato il mio indirizzo su quel sito e mi dice "Good news — no pwnage found!".

Quindi evidentemente è una mail che è arrivata solo a qualcuno.

Però hai scritto una cosa interessante, quella che ho evidenziato in grassetto. Hai usato il plurale, vuoi dire che quell'indirizzo lo hai usato anche presso altri exchange ? perché se così fosse l'indirizzo potrebbe essere stato rubato presso un altro exchange, non necessariamente Binance.

Infine, giusto per incasinare le idee  (  Grin ) aggiungo che su  haveibeenpwned.com   avevo verificato altri indirizzi email che uso e almeno un paio erano risultati positivi, ma non ho mai ricevuto mail di avviso da   loro.
Boh: personalmente non ci penserei più di tanto, ovviamente dopo aver cambiato pwd + 2FA come hai già fatto.


legendary
Activity: 2576
Merit: 2880
Catalog Websites
July 15, 2019, 12:14:25 PM
#63
Riuppo questo thread perché ho appena ricevuto una email di allerta dal sito https://haveibeenpwned.com, un sito gratuito che permette di verificare se la password del vostro indirizzo email è stata violata in qualche modo, e l'oggetto del messaggio è "Yours is one of 10,001 email addresses found in a paste titled "Binance 10M accounts for sale"". Qualcun altro è iscritto al servizio e l'ha ricevuta per caso? Perché immagino riguardi praticamente tutti gli iscritti a Binance, o quasi, no?

Preciso che l'email specifica che "An email address in a paste doesn't always represent a data breach so review the paste and determine if any data has actually been compromised then take appropriate action such as changing passwords."

Il file con tutti gli indirizzi termina con "Binance 10M accounts for sale 500BTC" e l'indirizzo email da contattare. Se sia una cosa seria o no, non lo so, ma il mio indirizzo è specifico per gli exchange e non lo uso da altre parti, eppure risulta in quella lista.....

Io ho sempre la 2FA da tutte le parti, ma per sicurezza ho appena cambiato la password di Binance, e vi consiglio di fare lo stesso.
legendary
Activity: 2562
Merit: 2640
May 30, 2019, 01:51:43 PM
#62
Comunque con quello che è successo e conseguenti dichiarazioni, in un mercato normale BNB sarebbe colato a picco o comunque avrebbe perso qualcosa. Qui invece la reazione è stata praticamente nulla, segnali poco rassicuranti o forse solo di un mercato giovane/inesperto.

Secondo me ha influito molto un altro fattore: il furto è successo in un momento in cui c'erano già da qualche giorno forti segnali di ripresa. E dopo una crisi di quasi un anno e mezzo il mercato AVEVA VOGLIA di rimettersi a correre.
Questo ha fatto passare senza grossi impatti sia la notizia del furto sia la altrettanto negativa reazione di Binance.


hero member
Activity: 784
Merit: 1416
May 29, 2019, 10:57:07 PM
#61

A me personalmente la cosa che preoccupa maggiormente di tutta la storia è il fatto che si è anche solo accennato di fare una reorg (con eventuale corruzione dei miners con parte dei bitcoin recuperati). E se la prossima volta ad essere "rubati" sono 70000 anzichè 7000 bitcoin? Pensate che CZ e tutti i suoi leccac*** non farebbero più pressioni per convincere tutti che recuperarli è la cosa "giusta"?

Non credo cambierebbe molto, per i minatori tanto vale smettere di minare, nel momento in cui il reorg avviene bitcoin va a 0.

Comunque con quello che è successo e conseguenti dichiarazioni, in un mercato normale BNB sarebbe colato a picco o comunque avrebbe perso qualcosa. Qui invece la reazione è stata praticamente nulla, segnali poco rassicuranti o forse solo di un mercato giovane/inesperto.
legendary
Activity: 1667
Merit: 1008
Stoned & Stranged
May 29, 2019, 09:37:37 AM
#60
leggendo il ricapito https://www.binance.com/en/blog/336904059293999104/Security-Incident-Recap possiamo vedere che la Binance é abbastanza trasparente, ma comunque, meglio tenere le monete sicure nei propri wallet, essendo propietari assoluti delle chiavi private, non esser comodi e holdare le coin su exchange varie...
io non mi fido di nessuna exchange

Trasparente dici?
Io se devo essere sincero non ho ancora capito cosa sia realmente successo dal punto di vista tecnico: davvero dobbiamo credere che un certo numero di hacker abbia per un po' di tempo scovato indirizzi mail con relative pwd ed eventualmente il sistema di intercettare il 2FA ?  a me sembra molto, molto improbabile.
Soprattutto per una molteplicità di account.
E' tutto troppo strano, al punto che non escluderei altre ipotesi..... per questo mi è difficile parlare di trasparenza.

Poi basta guardare la scusa che è riportata in questo riassunto per giustificare la sparata del reorg: alla fine CZ "da la colpa" a un dev di Bitcoin Core. Mah.....




A me personalmente la cosa che preoccupa maggiormente di tutta la storia è il fatto che si è anche solo accennato di fare una reorg (con eventuale corruzione dei miners con parte dei bitcoin recuperati). E se la prossima volta ad essere "rubati" sono 70000 anzichè 7000 bitcoin? Pensate che CZ e tutti i suoi leccac*** non farebbero più pressioni per convincere tutti che recuperarli è la cosa "giusta"?
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
May 29, 2019, 04:46:01 AM
#59
per questo motivo e' bene non fidarsi mai, e dico mai e di nessuno

dalle mie parti si dice

Quote
gioca a carte con tuo padre e conta le carte

(in dialetto rende meglio)

il bitcoin permette di essere la banca di se stesso, usatelo in questo modo
legendary
Activity: 2562
Merit: 2640
May 20, 2019, 02:18:11 PM
#58
leggendo il ricapito https://www.binance.com/en/blog/336904059293999104/Security-Incident-Recap possiamo vedere che la Binance é abbastanza trasparente, ma comunque, meglio tenere le monete sicure nei propri wallet, essendo propietari assoluti delle chiavi private, non esser comodi e holdare le coin su exchange varie...
io non mi fido di nessuna exchange

Trasparente dici?
Io se devo essere sincero non ho ancora capito cosa sia realmente successo dal punto di vista tecnico: davvero dobbiamo credere che un certo numero di hacker abbia per un po' di tempo scovato indirizzi mail con relative pwd ed eventualmente il sistema di intercettare il 2FA ?  a me sembra molto, molto improbabile.
Soprattutto per una molteplicità di account.
E' tutto troppo strano, al punto che non escluderei altre ipotesi..... per questo mi è difficile parlare di trasparenza.

Poi basta guardare la scusa che è riportata in questo riassunto per giustificare la sparata del reorg: alla fine CZ "da la colpa" a un dev di Bitcoin Core. Mah.....

hero member
Activity: 2968
Merit: 605
May 20, 2019, 12:39:20 PM
#57
secondo me binance e il miglior exchange che ci sia al momento,il mio preferito,comunque si vale sempre la regola non tenerci mai sopra piu di quello che si deve cambiare e una volta fatto riportare sempre tutto su un proprio wallet...
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
May 20, 2019, 12:05:58 PM
#56
leggendo il ricapito https://www.binance.com/en/blog/336904059293999104/Security-Incident-Recap possiamo vedere che la Binance é abbastanza trasparente, ma comunque, meglio tenere le monete sicure nei propri wallet, essendo propietari assoluti delle chiavi private, non esser comodi e holdare le coin su exchange varie...
io non mi fido di nessuna exchange

Bravo, bravissimo
Ricordate, voi potete esiste la banca di voi stessi e non demandare a nessuno la custodia dei vostri soldi

Poi beh, dovete tenerli al sicuro, infatti vi consiglio il mio corso di sicurezza specifico x bitcoin user
Lo trovate in mercatino/servizi
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
May 20, 2019, 06:58:31 AM
#55
leggendo il ricapito https://www.binance.com/en/blog/336904059293999104/Security-Incident-Recap possiamo vedere che la Binance é abbastanza trasparente, ma comunque, meglio tenere le monete sicure nei propri wallet, essendo propietari assoluti delle chiavi private, non esser comodi e holdare le coin su exchange varie...
io non mi fido di nessuna exchange
hero member
Activity: 784
Merit: 1416
May 20, 2019, 06:08:04 AM
#54
Quello che dice il soggetto interessato va sempre preso con le pinze, anche perché in un mercato con vari competitor è chiaro che i grandi abbiano interesse (e gioco facile) nel fare certe affermazioni.
Tuttavia chi conosce un po' il mondo dell'informatica dovrebbe sapere che non esiste la sicurezza assoluta, perciò è inevitabile che queste cose accadono.

L'oste ti dirà sempre che il suo vino è buono Wink

Sono completamente d'accordo sul fattore sicurezza, è impossibile garantire un livello di sicurezza pari al 100%, in particolare quando c'è di mezzo il "fattore umano", ma è possibile progettare il sistema con protezioni ridondanti in modo che sia più difficile che qualcuno ti porti via tutto se trova solo una falla.
 
Secondo me la maggior parte degli exchange ha livelli di sicurezza risibili, il problema è che fino a quando non lo bucano non sai mai quanto è grave la situazione, tipo cryptopia per citarne un'altro.
legendary
Activity: 2562
Merit: 2640
May 19, 2019, 02:08:16 PM
#53
e tornato tutto a posto?binance ha riaperto completamente? anche per il withdraw? mi dispiace per cryptopia

Si binance ha riaperto tutto, essendo un colosso ha potuto far capo alle perdite , ma è un grosso campanello d'allarme, perchè se stavolta hanno rubato 7000 bitcoin, potrebbero benissimo riprovarci con un furto maggiore e mettere ko anche binance.
Io non mi sarei mai aspettato un hack di binance, hanno sempre detto di essere l'exchange più sicuro.

Quello che dice il soggetto interessato va sempre preso con le pinze, anche perché in un mercato con vari competitor è chiaro che i grandi abbiano interesse (e gioco facile) nel fare certe affermazioni.
Tuttavia chi conosce un po' il mondo dell'informatica dovrebbe sapere che non esiste la sicurezza assoluta, perciò è inevitabile che queste cose accadono.
Proprio per questo io valuto maggiormente non il fatto che alla fine sia stato attaccato anche Binance, ma il modo con il quale ha cercato di risolvere il fatto una volta accaduto.

Da questo punto di vista:
1) i 7000 btc rubati sono stati "assorbiti" piuttosto bene direi
2) tuttavia la reazione a caldo non è stata la migliore, se ricordi la sparata iniziale di CZ.....  Cheesy

Diciamo che la speranza è che sia servito anche a loro per imparare qualcosa.....

legendary
Activity: 1316
Merit: 1001
May 19, 2019, 01:16:39 PM
#52
e tornato tutto a posto?binance ha riaperto completamente? anche per il withdraw? mi dispiace per cryptopia

Si binance ha riaperto tutto, essendo un colosso ha potuto far capo alle perdite , ma è un grosso campanello d'allarme, perchè se stavolta hanno rubato 7000 bitcoin, potrebbero benissimo riprovarci con un furto maggiore e mettere ko anche binance.
Io non mi sarei mai aspettato un hack di binance, hanno sempre detto di essere l'exchange più sicuro.
Pages:
Jump to: