https://blender.io/
vertex.market

Хакеру удалось обойти защиту 2FA криптовалютной биржи COSS с помощью брутфорса

Хакеру удалось обойти защиту 2FA криптовалютной биржи COSS с помощью брутфорса

На портале Reddit появилось сообщение от пользователя с ником Blainchainified, в котором он рассказал как у него 14 октября из-за уязвимости в системе безопасности криптовалютной биржи COSS украли все его цифровые активы. Сотрудники биржи сейчас пытаются обвинить в случившемся пострадавшего. 

«Я проснулся утром, включил ноутбук, проверил почту и увидел огромное количество писем от COSS, которые сообщали о неудавшейся авторизации в мой аккаунт на бирже», - начал свое обращение пользователь с ником Blainchainified. 

Он также отметил, что у него были подключены все возможные способы защиты от взлома, поэтому говорить о том, что вина за взлом лежит полностью на нем, по крайней мере будет не совсем корректно. 

20181025-01.png

«Когда я зашел на свой аккаунт, то обнаружил, что все мои криптовалюты и цифровые токены были проданы по заниженным ценам», - продолжает пострадавший.

Пользователь сразу обратился в поддержку, чтобы сообщить о случившемся, а также написал на Reddit и в Telegram-группе биржи. Многие в комментариях его начали высмеивать в том, что глупо было хранить все средства на кошельках биржи, с чем он согласился, однако такое его решение объяснялось тем, что биржа делится прибылью от торговых оборотов с держателями токенов пропорционально их количеству на биржевых кошельках. Поэтому храня средства на кошельках биржи, он получал пассивный доход. 

Представители COSS категорический отрицают свою вину и заявили, что у хакера был пароль пострадавшего и поэтому он сам виноват в случившемся. 

«Конечно, легче всего обвинить пострадавшего и возложить на него ответственность за кражу. Но я в этой отрасли с 2011 года и прекрасно понимаю, как необходимо защищать свои данные», - прокомментировал Blainchainified. «Я не использую компьютеры с операционной системой Windows, я не использую двухфакторую аутентификацию с помощью SMS. В этих вопросах я очень дотошный».

Далее в своем обращении пользователь объясняет, что даже если его пароль был скомпрометирован и хакер его узнал, у него была защита 2FA, которая устанавливалась как раз на этот случай. 

«Недавно я получил ответ от COSS, в котором говорится, что атака на биржу все же была произведена. С 25000-го раза хакеру удалось подобрать пароль 2FA, генерируемый приложением Google Authentication, при помощи метода «полного перебора» (brute force)», - продолжает свой пост Blainchainified.

20181025-02.png

Пользователь настаивает на то, что вина в данном случае лежит полностью на бирже, потому что даже если его пароль был скомпрометирован, то обойти 2FA удалось исключительно из-за атаки, которую допустила COSS. 

«Если бы проблема была в самой защите 2FA, компания Google столкнулась бы с серьезными проблемами и жалобами со стороны своих пользователей. Вся индустрия превратилась бы в хаос. Биржи в таком случае понесут убытки на миллиарды долларов, а это приведет к значительным потерям во всей отрасли», - заявил Blainchainified. 

И все же Blainchainified готов разделить вину и в связи с этим требует у биржи вернуть половину украденных средств. 

Активы, которые у него были на момент взлома: 

  • 11 700 000 токенов COSS (~$820 000)

  • ~14 BTC

  • ~ 22 ETH

  • 19 000 EOS, которые хакеру украсть не удалось. 

«COSS должна нести ответственность за случившееся, поскольку кражу позволила провести внутренняя уязвимость платформы», - закончил свое обращение к COSS пострадавший. 

В конце Blainchainified призвал все криптовалютные биржи включить дополнительную функцию безопасности для защиты средств — это торговый пароль. В таком случае взломщику не удастся продать активы пользователей, даже если он сможет скомпрометировать пароль от аккаунта и обойти защиту 2FA.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор майнинга
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000014
0.000100
0.000429
USD
0.24320
1.7024
7.2961
RUB
18.350
128.45
550.51
Расширенный калькулятор
https://buyex.exchange/
Курсы криптовалют
Обновить
https://scryptcube.com
Статистика сети
Текущая сложность: 17596801059571
Следующая сложность: 19044303616745 (NAN%)
Блоков до пересчета: 233
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 136324435.35
Блоков в сети: 658999
Блоков в час: 6.49
Блоков за последний час: 5
До 3.125 BTC/блок: 1162.05 дней
(181001 блоков)