btc-e.com Были украдены Деньги

[diyavolik_xl]

MARCHELLO -воровали тогда когда активности пк 0 ,,,

защитить да легко 

cyrex расписал ,, ,конечно легко поливать говном ,,многие слышат звон но не знают где он ,,,пока кого та не коснётся моя хата с краю ,,,не опускайтесь на уровень обезьян,,,,,,

[Fasters]

Опять..... нюни... как же вы з.. смените прокладку! Между компьютером и креслом.

Как биржа может тебя защитить от того, что твой компьютер, без твоего ведома, выполняет вредоносные скрипты, которые заточены в данном случае под биржу бтс-е? крадут куки и сессию плюс плюшки, или это всё делается в консольном режиме онлайн и ты этого не видишь.  Есть одно но, сам себя компьютер не мог инфицировать, проблема в прокладке. 

Давай сделаем эксперимент...вот возьми зарази мой пк с рабочим антивиром. И сделай все за 3 минуты. Сделаешь? 

Даже элементарное заражение ПК. 

Найди хоть 1 вирус или троян который возьмет norton360 ? Согласен?

 

 

Ув. 

En1ken 

ммм а смысл вешать на ваш обменник ssl выдан не на ваш домен?

http://prntscr.com/5fyt0j

http://prntscr.com/5fyt3l

Изменено 12 дек 2014, 13:38 пользователем Fasters

[Lion74]

вобщем ничья... :)

[diyavolik_xl]

 

Lion74- спасибо за позитив

 

[En1ken]

@Fasters, Ахах, внимательнее читайте посты в нашей теме касаемо сертификата

Кстати, теперь то понятно откуда ноги растут, нас щас пытаются всякими спам ботами взломать, то есть по всем направлениям ведется активное создание заявок с различными xss уязвимостями, но могу вас обломать, наш проект включен в группу хакмоби)) и прежде чем его запустить его изнутри проверили минимум с полтора десятка хакеров у которых есть обширный опыт, в отличии от вашего))

[diyavolik_xl]

 

En1ken- взрослый человек а .I. меряешься,,тебе уже 1 раз доказали о загрузке сервера  ты блеснул знаниями ,,,я вот как не шарю веб программировании так и не лезу ,

 

[Fasters]

@Fasters, Ахах, внимательнее читайте посты в нашей теме касаемо сертификата

Кстати, теперь то понятно откуда ноги растут, нас щас пытаются всякими спам ботами взломать, то есть по всем направлениям ведется активное создание заявок с различными xss уязвимостями, но могу вас обломать, наш проект включен в группу хакмоби)) и прежде чем его запустить его изнутри проверили минимум с полтора десятка хакеров у которых есть обширный опыт, в отличии от вашего))

смысл мне что то читать в вашей теме...если оно видно сразу что сертификат не рабочий...или будете меряться хоботом у кого что больше?

Та мне до однгого места куда ваш проект включен, веселее будет если в блек лист ПС и браузеров.

 Я вроде и не доказывал что я ТУТ самый умный и т.д. Я продемонстрировал то что видел и знал, некоторые люди думаю и не догадывались про угрозу кук и т.д.

 

Спам бот? 1 прога анализатор сайтов? вы шутите?

Алилуя хоть один человек умеет читать apache access log (btc-e к сожалению не смогла предоставить информацию подтверждения от перехода с почты на сервер)

И попрошу не грубить, вы для меня 0 как и я для вас и дальше вести дискуссию с вами желания не имею.

[En1ken]

@Fasters, И чего вы добились своим анализатором?

[diyavolik_xl]

 

En1ken я вижу аватар на байке, ну так катайся на здоровья :)

 

[En1ken]

@diyavolik_xl, Зависть это хреновое чувство))

Пхахах, посмотрел, а мне карму тут минусуют)) причем под каждым постом по -2 балла)) вот думаю ктоже такой обидчивый то))

[diyavolik_xl]

а мне кто делает минус 1 ?

[Fasters]

@diyavolik_xl, Зависть это хреновое чувство))

Пхахах, посмотрел, а мне карму тут минусуют)) причем под каждым постом по -2 балла)) вот думаю ктоже такой обидчивый то))

я ну на столько низко не опускаюсь что бы минусовать репу...

А ну кто такой умный отзовитесь кто уже снифер н апочту пригнал?))  (кто то куки мои захотела..ага щас...)

 

http://prntscr.com/5g4jy6

 

Аж смешно стало... :D  :D  :D  :D

Изменено 12 дек 2014, 21:37 пользователем Fasters

[AsdSanta]

En1ken - ну и ломанули сайт? не?

Fasters  -  я так понимаю что БТС не ставит СМС авторизацию только из-зи жаби?

отто какие-то хакерские курсы, потопал я искать денежные мешки....стоп там же доступ по удаленке был (а че за прога? Тайм виев?)

я так и не понял виновата биржа или Денис?

Изменено 13 дек 2014, 02:14 пользователем piter

[Василий Уткин]

всё с вами понятно в данном случае, вроде бы парни и не глупые, но в некоторых аспектах вы сильно заблуждаетесь.

 

Факты:

1. На компьютере с деньгами и доступом к бирже используете неизвестное программное обеспечение, которое возможно имеет закладки.

2. Судя по скриншотом работал скрипт в автоматическом режиме. Скрипт конкретно за точеный под бтс-е.

3. Где гарантия, что у нашего Дениса не украли пароли от почты и биржи на много раньше, чем этот произошло, учитывая, то что он использует запоминание паролей в браузере, что не рекомендуется! у тебя же там кровные деньги! каждый раз должен вбивать ручками! 

4. Наличие антивируса не гарантирует защиты от вирусов, троянов и руткитов.

5. Даже если использовали атаку xss или другие разновидности взлома, Денис должен был инфицировать свой компьютер, нажать на ссылку своими собственными ручками! Установкой неизвестного программного обеспечения, переход по ссылкам, установка разных неизвестно откуда плюшек.

6. Для атаки могут использовать твою же под сеть айпи адреса, банально перенаправляя всё запросы на прокси, крадут твои куки, сессию, индикаторы, как на бирже так и на гугле, поднимают прокси с айпи адресом твоей под сети и делают всё не обходимое для кражи денег.

7. Немного складывается ощущение, что это тупой развод, ибо вы не первый, кто винит биржу в том, что тыкая бездумно мышкой не думаете о последствиях!

8. Ни каких родных, близких и друзей! Доверять только себе!

9. Использовать только надёжные каналы связи выхода в интернет.

10. Если даже в бирже есть уязвимости, их использовали, подтвердив то, что злоумышленник является Денисом, значит Денис сам лично, зная это или не зная или не понимая этого, отдал доступ своего аккаунта вору!

и где гарантия того, что вы не два друга акробата, которые решили срубить бабла с биржи, сделав вывод на свои счёта, а теперь требуете компенсацию за не состоятельность биржи.

можно ещё много чего написать, чего не стоит делать с компьютером имея на нём крупные суммы денег, но с этим вопросом вы должны были ознакомиться намного раньше. 

Так я не могу понять в чём проблема биржи? в том что у Дениса руки из попы?

 

Просто не пользуйтесь данной биржей! Вас ни кто не заставляет, но думаю в скором времени увидим топик у меня украли деньги с крипси, бтсчины, оккоина и тд.

Изменено 13 дек 2014, 04:45 пользователем MARCHELLO

[cyrex]

 

10. Если даже в бирже есть уязвимости, их использовали, подтвердив то, что злоумышленник является Дениской, значит Дениска сам лично, зная это или не зная или не понимая этого, отдал доступ своего аккаунта вору!

 

можно ещё много чего написать, чего не стоит делать с компьютером имея на нём крупные суммы денег, но с этим вопросом вы должны были ознакомиться намного раньше. 

Так я не могу понять в чём проблемма биржи? в том что у Дениски руки из жопы?

Не надо оскорблений и фамильярного тона. 

Насколько я вижу, двое пострадавших ведут себя корректно. А в ответ от некоторых товарищей идёт хамство. 

 

По существу: никто не застрахован от атак хакеров. Даже, если выходить на биржу с девственно чистого компа со свежей виндой. А в линуксе разбираться долго и не каждому под силу, уж извините. Биржа - должна быть местом для всех трейдеров, а не только для тех, кто супер программист и разбирается в линуксе. 

Так что большинство по необходимости использует винду.

Сами написали, что никакой антивирус не гарантирует 100%-ю защиту = > у любого юзверя есть вероятность схватить троян => у любого юзверя могут похитить его куки и т. п., чтобы взломать акк биржи. Да, можно снизить вероятность взлома акка, но нельзя убрать её полностью (да и не все такие крутые хакериты, чтобы знать какие-то мутные алгоритмы обеспечения дополнительной безопасности) => биржа должна обеспечить такой алгоритм вывода средств, который бы гарантировал, что средства не будут похищены путём взлома акка. Решение элементарно: смс подтверждение операций вывода и возможность смены телефона ТОЛЬКО путём смс на старый телефон. 

Биржа этого не делает. Почему - бз. Возможно, жидится. Если жидится, то проблема не велика - пусть сделают эту услугу платной и компенсируют свои расходы.

[AsdSanta]

согласен полностью, пусть ставят СМС-уже давно вроде говорили, белый Ай-пи конешно круто, но я думаю шо СМС тож не повредит.....мое мнение шо бабло замутил тот БОт для трейдинга....

(и вас крутых спецов не поймеш, я о паролях , то ставить чуть ли не 256 символов, то руками забивать) - понял ток шо не нужно ставить автозаполнение...ребятам спасибо за инфу...поучительно, как раньше говорили - сочуствуем но не чем помочь не можем!

[tvskit]

Да, много умных собралось, советы хороши, но получается что, на бирже должны торговать супер хакеры и кидалы. Бдительность ни кто не отменял, но если биржа внедрит смски, это решил все проблемы на 99%. Насколько помню бирже это внедрить уже как год предлогают, так нет, или не могут, спецов не хватает. Вопрос как часто вы выводите? 70% держателей как закинули бабло так и держат все на бирже, остальные это менялы и кидалы часто выводят.

 

Вопрос, почему биржа отнекивается и отмалчивается?

[bubuzant]

Вопрос знатокам: а как обстоит дело с СМС на других биржах?

[tvskit]

Вопрос знатокам: а как обстоит дело с СМС на других биржах?

Об этом можно узнать в соответствующих ветках или задать вопрос самой бирже.

 

А бтц-е должен прислушатся к пользователям. И оставатся на шаг в переди других бирж, а то уже сравнялись и падают.

[En1ken]

@tvskit,@bubuzant,@tvskit, Касаемо СМС, на биржах как правило работают люди с разных стран, и следовательно смс-билинг должен поддерживать эти страны. Таких билингов еденицы, и цена смс там не 1 копейка как многие тут говорят.

Во вторых, если на вас пошла атака и ВАША машина уже заражена то ни смс ни что либо другое не поможет, хакер просто дождется когда Ден выйдет в сеть, и захочет перевести(или совершить любое другое действие с смс паролем) и в этот момент хакер(скрипт) подсунет ему левые данные на странице(типа дениска хочет вывести 1 рубль, а хакер выводит 1000) вот и все, в общем все гораздо проще, стоит только хакеру вклинится между самим пользователем и биржей то никакие супер пупер защиты не помогут!

PsКстати, а много ли людей(особенно рф) стали бы пользоваться смс?? Это же деанонимизация на которой так много помешанных пользователей, тот же дениска до тех пор пока его не ломанули не рассказывал о себе ничего, то есть аноним!! Который даже 2фа не в состоянии был поставить, а это решило бы все его проблеммы!

Изменено 13 дек 2014, 07:50 пользователем En1ken

[cyrex]

 

Во вторых, если на вас пошла атака и ВАША машина уже заражена то ни смс ни что либо другое не поможет, хакер просто дождется когда Ден выйдет в сеть, и захочет перевести(или совершить любое другое действие с смс паролем) и в этот момент хакер(скрипт) подсунет ему левые данные на странице(типа дениска хочет вывести 1 рубль, а хакер выводит 1000) вот и все

Я, конечно, не мегахакер и ваще. Но тем не менее. 

Не правдоподобно как-то ваше описание. "хакер дождётся". Ага, будет он сидеть и ждать месяц. )))

Во-вторых: юзер видит, что и на какой кошель он выводит. Может и можно (я не хакерито, каюсь), в чём я сомневаюсь, сделать так, что юзверь видит у себя на сайте биржи свой номер кошеля, а на самом деле злой хакерито подменил номер кошелька на свой. И когда юзер подтвердит вывод, то деньги уйдёт хакеру. Может и можно так. Но это гораздо сложнее, чем тупо слить битки, взломав акк без смс подтверждения.

Так что, даже если ваше (кажущееся мне несколько фантастическим) описание злобных хакерских козней и верно, то всё равно, задача для хакерит сильно усложнится и количество украденных битков в единицу времени наверняка снизится в разы. 

 

 

PsКстати, а много ли людей(особенно рф) стали бы пользоваться смс?? Это же деанонимизация на которой так много помешанных пользователей

Во-первых, не обязательно деанонимизация. Есть такая вещь, как левые симки. 

Во-вторых, это надо сделать по желанию. Кто не хочет смс подтверждение - не надо. 

 

По поводу цены СМС для разных стран - пускай делают эту услугу (смс подтверждение) платной, со своей ценой для каждой страны. 

 

Ещё, думаю, код для смс должен быть хотя бы 6 цифр, а лучше 8. И 3 попытки. После 3 попыток акк блокируется на вывод, например, на сутки. Все попытки вывода записываются в акке и присылаются письма на почту. 

Изменено 13 дек 2014, 08:20 пользователем cyrex

[tvskit]

@tvskit,@bubuzant,@tvskit, Касаемо СМС, на биржах как правило работают люди с разных стран, и следовательно смс-билинг должен поддерживать эти страны. Таких билингов еденицы, и цена смс там не 1 копейка как многие тут говорят.

Во вторых, если на вас пошла атака и ВАША машина уже заражена то ни смс ни что либо другое не поможет, хакер просто дождется когда Ден выйдет в сеть, и захочет перевести(или совершить любое другое действие с смс паролем) и в этот момент хакер(скрипт) подсунет ему левые данные на странице(типа дениска хочет вывести 1 рубль, а хакер выводит 1000) вот и все, в общем все гораздо проще, стоит только хакеру вклинится между самим пользователем и биржей то никакие супер пупер защиты не помогут!

PsКстати, а много ли людей(особенно рф) стали бы пользоваться смс?? Это же деанонимизация на которой так много помешанных пользователей, тот же дениска до тех пор пока его не ломанули не рассказывал о себе ничего, то есть аноним!! Который даже 2фа не в состоянии был поставить, а это решило бы все его проблеммы!

Смс не принудиловка, захотел включмл, не надо - забил, можешь и 2х фак не врубать и пароль 1234. Тут понимаешь как с мотоциклом, если уеб...ся на скорости и каска не спасет, но шанс из 1000 есть. И тут твое право выбора одевать ее или забить. Т.к. упасть можешь и на малой скорости и по чужой вине, и будь ты трижды шумехером-джедаем-и еще кем.

С подменой, согласен, тут уже все.

Пользоваться будут и еще как.

[cyrex]

Думаю, для максимальной надёжности алгоритм вывода денег должен быть таким:

- Запрос в акке

- Клик по письму в почте, в котором будет указана сумма вывода и номер кошелька, куда выводишь. 

- смс подтверждение

 

Тогда хацкеру придётся ломать почту и акк и подменивать письмо на почте и страницу в акке. 

Думаю, что это несколько сложнее для хакерит, чем тупо сломать акк и вывести всё 3 минуты.

 

Также, считаю полезными следующие меры:

- Возможность введения лимитов на вывод (в неделю или в месяц) самим юзверем на каждый вид денег или крипты. С смс подтверждением установки или отмены лимита. Например, если выводишь, не больше 2 битков в неделю, то и поставить такой лимит. На остальные виды денег или крипты поставить нулевой лимит (запрет на вывод). Тогда смогут украсть максимум 2 битка.

Чтобы понижать лимит можно было без смс подтверждения, а повышать - только с смс подтверждением.

 

Решил уйти в запой на полгода? Ставь везде нулевые лимиты и пей спокойно!

 

- Смс подтверждение при переводе денег со счёта МT4 в акк. 

Изменено 13 дек 2014, 09:00 пользователем cyrex

[Алексей Разумовский]

смс и блок средств на пару дней при изменении данных акаунта спасает капитально, гугл с его двух факторкой лажа какаято.. вчера вечером пытались увести мой акаунт на эксмани,сломали почту поставили пересылку на другой ящик в итоге уперлись в блок средств и код  по смс-) собственно когда мне пришло смс с кодом на вход я понял что начинаются проблеммы -)) но в итоге все спасено.

 

Еще конкретно повысит безопасность при смене пароля мать его не присылать пароль на почту,а ссылку через смс

Изменено 13 дек 2014, 08:53 пользователем Алексей61

[cyrex]

Алексей61, как взломали? Трояном? Как подхватили, как думаете?