Вчера вечером стало известно, что самая популярная криптовалютная биржа в русскоязычном сообществе - BTC-e - вводит срочные изменения в свою политику безопасности. Пользователям дали "на размышление" меньше суток - сброс паролей произойдет 30 сентября, а новость на сайте биржи опубликована около 17:00 29 сентября.

Администрация биржи заявляет, что срочные изменения связаны с большим количеством взломов аккаунтов. Но известия об этом регулярно появляются уже более двух лет, зачем же понадобилась такая срочность? Возможно, произошла утечка большого количества паролей или найдена другая уязвимость, которую биржа не хочет обсуждать публично? Но все это остается в области предположений.

Что же изменилось?

Безопасность

  1.  Всем пользователям BTC-e с 30 сентября 2016 года активируется процедура замены пароля. При первом входе в аккаунт пользователь увидит сообщение, что пароль устарел и необходимо пройти процедуру сброса пароля. Она организована аналогично созданию BTC-e code: на почту отправляется одноразовая ссылка, при переходе по которой генерируется новый пароль. После этого ссылка становится нерабочей. Пароль придется сохранять на устройстве пользователя и его невозможно изменить самостоятельно, что делает схему более уязвимой, чем при обычном методе создания пароля. При первичной смене пароля на аккаунт не будет установлен блокировка 48 часа. 
  2. Для смены пароля после первого входа необходимо перейти в раздел “Редактирование” и нажать на кнопку “Изменить пароль”, далее все происходит аналогично.
  3. Установлено максимальное время жизни пароля в 6 месяцев, при смене пароля по этой процедуре блокировка на аккаунт устанавливаться не будет. 
  4. Добавлено почтовое уведомление о неудачном входе в аккаунт. 

Самое главное изменение состоит в том, что новая политика не предусматривает возможность пользователям использовать свои пароли. Этот подход уже вызвал недоумение и беспокойство у многих пользователей.

BTC-e code

Изменения также коснулись выпускаемых биржей ваучеров для передачи средств между пользователями, весьма популярных в обменных пунктах.

В кодах добавлено поле, в котором можно указать пользователя по его username, который сможет погасить этот BTC-e code.

  • Если в поле username указан правильный username (пользователя) то погасить код сможет только тот пользователь который был указан, а так же пользователь который создал код. 
  • Если в поле username будет указан неправильный username (username c ошибкой, или несуществующий пользователь), то погасить код сможет только тот пользователь, который создал код. 
  • Если поле username оставить пустым, то погасить код сможет любой пользователь который получит этот код, а так же пользователь который создал код. 

На код устанавливается время жизни.

  • После создания кода он будет активен в течение 120 дней 
  • Если код в течение 120 дней не был погашен, то он переходит в статус неактивен и зачислить его обратно на аккаунт сможет только тот пользователь, который его создал. 
  • На коды, созданные с 1 января 2016 года будет добавлено время жизни 120 дней начиная с текущего дня.

В отличие от весьма сомнительной политики работы с паролями, изменения в операциях с кодами BTC-e действительно повышают безопасность их использования и были встречены положительно. Остается надеяться, что руководство биржи и в вопросе политики паролей прислушается к мнению сообщества.