Взлом аккаунта Binance

[Maximalrisk]

Добрый день. Уважаемые пользователи.

Хочу поделиться своим опытом, возможно кому то будет полезно.

Итак хронология событий:

Изначально мне приходит сообщение на телефон,  о том,  что с моей почты установлена переадресация (почта mail.ru) по письмам от wex.

СМС пришло поздно ночью, благо не спал. Зашел на свою почту и сменил пароль. Далее пошел на биржи сменил пароли там.

Т.к. на нескольких биржах были заведены аккаунты, то пока добрался до binance,  время было упущено. 

На Binance стояла 2х факторная аутинтефикация,  через google. Дело было в том, что на mail почту, была привязка почты гугл.

Злоумышленник получил доступ и сделал сброс аутидентификатора с binance. Тем самым получив доступ к аккаунту. Однако до сих пор мне не понятно каким образом он смог подобрать пароль к бирже - когда пароль на почту и пароль на Binance, был разным.

К гугл аутидентификатору был сделан сброс, как я понял.

Не очень понравилась работа службы поддержки Binance. 

Дело в том,что я успел попасть на биржу и увидел - что стоит вывод крипты на сторонний кошелек. Отменить вывод возможности не было. Я понимаю - что между моим письмом в службу поддержки и их реакцией есть время (об этом четко написано в соглашении).

Однако все последующее общение свелось к тому - что вашей почтой воспользовался злоумышленник и мы очень сожалеем.

На просьбу дать развернутый комментарий о том, каким образом был взломан аккаунт если пароли были разные, и о том, готова ли биржа предоставлять информацию мне как пользователю (для подачи заявления в правоохранительные органы) ответа до сих пор не последовало. Спасибо что хоть дали список ip с которых заходил взломщик. Естественно использовал динамический ip.

Теперь мои размышления по теме.

На мой взгляд в безопасности работы данной биржи есть пробел, если хакер взломал и сбросил мой пароль посредством сброса через е-майл, то почему не пришло сообщение о сбросе пароля на почту. Так же в самой бирже не замораживается вывод средств после сброса пароля (как например на Bitfinex).

Или другой вариант - что хакер каким то образом подобрал пароль к binance? Тогда почему об этом молчит служба поддержки биржи. И мой запрос оставлен без ответа.

Хотелось бы услышать комментарии знающих людей, т.к. сам не программист и высказал свои размышления. Возможно с Вашей помощью получится восстановить картину.

Так же думаю над возможностью подачи заявления в полицию, по 272 статье. Есть ли смысл? Я понимаю, что крипта ничем и никем не регламентирована в России и вернуть деньги вряд ли получится. Однако хочется чисто банально наказать злоумышленника,если конечно он из РФ. Дабы было не повадно в будущем. Может у кого то есть опыт, подачи, и аналогичных ситуаций, как протекает, и ищут ли вообще. Проживаю в Москве.

Просьба - если есть возможность дать конструктивный комментарий. Комментарии по типу: сам виноват и т.д. просьба заранее не писать, я не жалуюсь, понимаю, что часть вины лежит на мне. И что денег уже не верну. Хотя старался соблюдать меры безопасности и пароли к бирже и почте не были легкими. 

Заранее спасибо.

 

[jam72]

17 минут назад, Maximalrisk сказал:

Злоумышленник получил доступ и сделал сброс аутидентификатора с binance.

Разве это возможно?

17 минут назад, Maximalrisk сказал:

до сих пор мне не понятно каким образом он смог подобрать пароль к бирже - когда пароль на почту и пароль на Binance, был разным.

Тоже не понятно...

 

Может у вас доступ по API был включен?

[sG Expert]

регайтесь на биржах, на не засвеченные эмайлы

[shpi0ru]

Чтобы снять 2FA на бинансе, нужно ввести код 2FA. Как по-другому можно снять?

И еще, обратите внимание на надпись - после снятия 2FA, все выводы замораживаются на 24 часа.

Поэтому что-то в этой истории не сходится.

3 часа назад, Maximalrisk сказал:

На Binance стояла 2х факторная аутинтефикация,  через google. Дело было в том, что на mail почту, была привязка почты гугл.

Почта гугл вроде никакого отношения к приложению аутентификатора не имеет, и даже через почту гугл получить доступ к кодам аутентификации нельзя.

[shpi0ru]

А whitelist для вывода с биржи был включен?

[jam72]

Наиболее вероятным мне представляется, что деньги вывели через API - в настройках стояла галка, разрешающая вывод, а ключи API были каким-то образом скомпрометированы.

[Helber]

16 минут назад, shpi0ru сказал:

А whitelist для вывода с биржи был включен?

А он там разве есть?.. Я как-то поискал, не нашел.

[shpi0ru]

9 минут назад, Helber сказал:

А он там разве есть?.. Я как-то поискал, не нашел.

Во вкладке Account, внизу.

[Helber]

@shpi0ru , данке. Не могу плюс поставить, карман с плюсами пустой пока))

[Maximalrisk]

Если это сделали по API то тогда это косяк площадки? Уже как то была там найдена уязвимость, в марте месяце, насколько я помню. Там правда насколько я осведомлён, было другое, хакеры поменяли одну крипту на другую, но вывести не смогли. У меня была схожая ситуация. Btc у меня не было на binance, сначала все было поменяно на btc, потом поставлено на вывод. На все это время ушло, минут 20. Пока я копался с другими почтами и другими площадками, а сюда дополз, уже поздно было. 

[shpi0ru]

1 минуту назад, Maximalrisk сказал:

Если это сделали по API то тогда это косяк площадки? Уже как то была там найдена уязвимость, в марте месяце, насколько я помню.

Если вы создали API ключ с возможностью вывода средств и предоставили этот ключ стороннему сервису, то это исключительно ваш косяк.

Уязвимость была не у биржи, насколько я понял, какой-то торговый бот был использован для пампа монетки.

[jam72]

@Maximalrisk В настройках API у вас стояла галка на "Enable Withdrawals" ?

[Maximalrisk]

Только что посмотрел, стоит off, т.е. выключена.

[shpi0ru]

1 минуту назад, Maximalrisk сказал:

Только что посмотрел, стоит off, т.е. выключена.

Тогда остается вопрос - как сняли 2FA, не имея доступа к вашему устройству с генератором кодов? Ну и вывод, после снятия 2FA, замораживается на 24 часа.

[Maximalrisk]

Да, вот этот вопрос остаётся открытым. Есть ещё важный вопрос, если допустим хакер, каким то образом смог получить код для Бэкапа 2FA, сделал этот бэкап, то тогда должны ли были произвести заморозку транзакций?

Странно - что всю эту информацию мне приходится собирать здесь, а служба поддержки самой биржи ограничилась банальной отпиской, что был осуществлен вход с "чужих" IP.  И мы надеемся на дальнейшее сотрудничество. А на просьбу дать развернутый комментарий, оставили без ответа (возможно выходные конечно и я зря на них наезжаю, ответ дадут в понедельник-вторник).

Ну и так же для меня остаётся актуальный вопрос - есть ли смысл подавать в полицию? Факт несанкционированного входа в почту - мне подтвердили, во всех почтовых сервисах. Так же мною был отправлен запрос провайдеру - на предоставлении информации по ip. Ответ поступил, что всю более подробную инфу по запросу полиции.

Достаточно ли следов товарищ оставил для полиции? Это и ip принадлежащие конкретному провайдеру, и почта на которую он поставил переадресацию. 

Я конечно понимаю, что факт кражи крипты, т.к. она не регламентирована законом у нас (пока), мало кого заинтересует, но все же стоит ли пытаться? 

Кто что посоветует?

 

[taste]

У тебя могли доступ к телефону с 2фа получить и если туда гугл почта привязана то и к ней подключиться нет особо трудно, бекапить 2фа можно только с телефона, больше никак

[AlexisV]

Конечно пытайся. Сейчас пока всё это не регламентировано. Но если никто не будет обращаться в полицию, то так и останется. Надо создавать прецеденты, чтобы наконец появился этот самый регламент. Если не мы - то кто?

 Главное отпиши по результатам сюда.

[taste]

Ты можешь написать в полицию, но так как ты не гос структура им на тебя будет поф

[shpi0ru]

15 минут назад, Maximalrisk сказал:

Есть ещё важный вопрос, если допустим хакер, каким то образом смог получить код для Бэкапа 2FA, сделал этот бэкап, то тогда должны ли были произвести заморозку транзакций?

Биржа не имеет доступа к приложению 2FA, поэтому если был скомпрометирован бэкап вашего ключа 2FA, биржа об этом не узнает. Где вы хранили бэкап кода 2FA? К нему мог получить доступ злоумышленник?

 

10 минут назад, taste сказал:

У тебя могли доступ к телефону с 2фа получить и если туда гугл почта привязана то и к ней подключиться нет особо трудно, бекапить 2фа можно только с телефона, больше никак

Нельзя бэкапить 2FA с телефона! 2FA вы бэкапите сами в момент его создания - сохраняете код, либо QR-код куда-то в надежное место и в случае, если телефон сдохнет, 2FA можно будет восстановить из этого кода.

Поэтому, для получения доступа к 2FA есть только два варианта - получить доступ к устройству с установленным генератором кодов, либо украсть код для восстановления.

[Helber]

3 минуты назад, shpi0ru сказал:

Нельзя бэкапить 2FA с телефона! 2FA вы бэкапите сами в момент его создания - сохраняете код, либо QR-код куда-то в надежное место и в случае, если телефон сдохнет, 2FA можно будет восстановить из этого кода.

Поэтому, для получения доступа к 2FA есть только два варианта - получить доступ к устройству с установленным генератором кодов, либо украсть код для восстановления.

В новых версиях Google Autenticator как раз сохраняются бэкапы, на гуглодиске. Вроде бы что-то сохраняется даже без спроса и инициативы пользователя.

Вопрос в том, насколько реально из них что-то путное "выдоить"

http://4pda.ru/forum/index.php?showtopic=293318&view=findpost&p=66875651

 

[taste]

12 минут назад, shpi0ru сказал:

Биржа не имеет доступа к приложению 2FA, поэтому если был скомпрометирован бэкап вашего ключа 2FA, биржа об этом не узнает. Где вы хранили бэкап кода 2FA? К нему мог получить доступ злоумышленник?

 

Нельзя бэкапить 2FA с телефона! 2FA вы бэкапите сами в момент его создания - сохраняете код, либо QR-код куда-то в надежное место и в случае, если телефон сдохнет, 2FA можно будет восстановить из этого кода.

Поэтому, для получения доступа к 2FA есть только два варианта - получить доступ к устройству с установленным генератором кодов, либо украсть код для восстановления.

Можно 2фа с телефона со всеми ключами забекапить, но надо это принудительно делать, сам гугл не забекапит по своей инициативе

[shpi0ru]

5 минут назад, taste сказал:

Можно 2фа с телефона со всеми ключами забекапить, но надо это принудительно делать, сам гугл не забекапит по своей инициативе

Как именно, можете описать? Без получения root-доступа к телефону и выдергивания данных из /data есть способ?

 

9 минут назад, Helber сказал:

В новых версиях Google Autenticator как раз сохраняются бэкапы, на гуглодиске. Вроде бы что-то сохраняется даже без спроса и инициативы пользователя.

Вопрос в том, насколько реально из них что-то путное "выдоить"

Сейчас специально сделаю на втором устройстве "хард ресет" и восстановлю все данные из гуглодиска. В прошлый раз, когда я так делал, коды 2FA не восстановились. Но я не уверен какая версия приложения была. Сейчас версия 5.00. Попробую - отпишусь. В настройках резервного копирования действительно приложение что-то бэкапит в облако.

Edited 13 May 2018, 10:35 by shpi0ru

[Helber]

12 минут назад, shpi0ru сказал:

Как именно, можете описать? Без получения root-доступа к телефону и выдергивания данных из /data есть способ?

Читайте тему на 4pda, там что-то такое было

[Maximalrisk]

Спасибо всем за ответы.  Я сам где то накосячал, раз такое произошло со мной, правда до конца не понял где. Но это уже и не важно. С другой стороны и права взламывать мои почтовые аккаунты ни у кого нет.

Буду составлять заявление в полицию.

Однако тут есть один тонкий момент: стоит ли указывать связь взлома почты с последующей кражей крипты?

 Ведь законом это никак не  регламентировано в данный момент. И не последуют ли ко мне самому какие то санкции за использование крипты. 

Я не парюсь по поводу каких то обвинений в отмывании и легализации. Т.к. официально трудоустроен, и легко смогу подтвердить источник доходов на покупку крипты.

Возможно тут есть какие то ещё подводные камни? И стоит просто просить привлечь к ответственности за взлом почтового сервиса, (это 272 статья, в надежде, что найдут злоумшленника и хотя бы ему будет наказание, для того, чтобы он не грабил больше других людей) или все же давить по полной программе с указанием суммы ущерба, который составляет конечно не 3 млн, но и не 30 тыс. руб?