Και το Inputs.Io θύμα hacking

Hacked

Το Inputs.Io ξεκίνησε φιλόδοξα ως μια υπηρεσία ηλεκτρονικού πορτοφολιού υψηλής ασφάλειας, που θα κάλυπτε τα όποια κενά ασφάλειας υπήρχαν στις άλλες υπηρεσίες. Εκτός από τα τυπικά όνομα χρήστη και κωδικό, η υπηρεσία Inputs.Io διέθετε κι έναν επιπλέον κωδικό εξουσιοδότησης συναλλαγών, χωρίς τον οποίο ήταν αδύνατο να ολοκληρωθεί οποιαδήποτε εξερχόμενη συναλλαγή. Επιπλέον, για την επαναφορά ενός κωδικού πρόσβασης, ήταν απαραίτητο να παρασχεθεί και σχετικό κλειδί επαναφοράς. Τέλος, παρείχε κι ένα ακόμα χαρακτηριστικό ασφάλειας βασισμένο σε GPG, που αν το ενεργοποιούσε ο χρήστης, θα έπρεπε ν’ αποκρυπτογραφήσει ένα μικρό κείμενο, για να μπορέσει να πραγματοποιήσει είσοδο στο σύστημα.

Οι ομολογουμένως προχωρημένες πρακτικές ασφάλειας που εφάρμοζε σε επίπεδο χρήστη, δεν ήταν ικανές ν’ αποτρέψουν την μη εξουσιοδοτημένη πρόσβαση, η οποία οδήγησε σε απώλεια 4100 bitcoins, που σύμφωνα με την ισοτιμία των ημερών αντιστοιχεί σε ποσό μεγαλύτερο του ενός εκατομμυρίου ευρώ. Σύμφωνα με πληροφορίες που δόθηκαν, οι hackers απέκτησαν πρόσβαση στον λογαριασμό του παρόχου υπηρεσιών φιλοξενίας (hosting), μέσω παλαιών email διευθύνσεων που παραβίασαν, οι οποίες δεν είχαν «συνδεθεί» με τηλεφωνικούς αριθμούς, ώστε να γίνει άμεσα αντιληπτή η παραβίαση. Αφού απέκτησαν πρόσβαση στον λογαριασμό hosting, στη συνέχεια απέκτησαν πρόσβαση κονσόλας στον server της υπηρεσίας και κατά συνέπεια στο ενεργό πορτοφόλι (hot wallet), το οποίο εξυπηρετεί τις αναλήψεις σε πραγματικό χρόνο. Το μεγάλο σφάλμα της υπηρεσίας Inputs.Io φαίνεται να είναι ότι κρατούσε το μεγαλύτερο μέρος των bitcoins στο ενεργό πορτοφόλι, σε αντίθεση με άλλες υπηρεσίες που διατηρούν σε αυτό ένα μικρό ποσοστό, ενώ το μεγαλύτερο μέρος των νομισμάτων βρίσκονται σε πορτοφόλι εκτός σύνδεσης (ofline)

Η ανακοίνωση που εξέδωσε η υπηρεσία είναι η ακόλουθη:

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Two hacks totalling about 4100 BTC have left Inputs.io unable to pay all user balances. The attacker compromised the hosting account through compromising email accounts (some very old, and without phone numbers attached, so it was easy to reset). The attacker was able to bypass 2FA due to a flaw on the server host side.

Database access was also obtained, however passwords are securely stored and are hashed on the client. Bitcoin backend code were transferred to 10;15Hd@mastersearching.com:mercedes49@69.85.88.31 (most likely another compromised server).

What about my coins there? If you stored more than 1 BTC, send an email to support@inputs.io with a Bitcoin address (preferably, an offline, open source light/SPV wallet like Multibit or Electrum). Use the same email you’re using on Inputs. Please don’t store Bitcoins on an internet connected device, regardless of it is your own or a service’s.

I know this doesn’t mean much, but I’m sorry, and saying that I’m very sad that this happened is an understatement.

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)

iQEcBAEBAgAGBQJSeuZ9AAoJEB7FawRj3T8Th5QH/iapt2DUuyy1j7t51y1N1LOk
+Gu5fdIAV8molXnv+InMQvxtfxWfc7zKiROSP6Zv1cXdvMrCyzKP+SnTEFshIa+0
j2FYOgLeMNmsPSw8yeR1O8vJieYlK+7imEZL4nRKA+O+mjqCT1nTCtBUAVcYQ8Uu
O6BoNLkgT8z/1ZTfw+OK4t2kw9KcC317JOv3yVugfA3xCn4HbKPRP2yFIKR49C7L
w7C2h3L1jHqLerQNjbowcyKH83BFJ2IB0cFZFFCLBI+8NQcUIcIFymxrxUV73Rqa
xlMPX2rPFcIj6yz0ABl1t2rwY2DGOvc33MYCzX82CumLx/qAXCd2uF/jG6fzQ5M=
=Ip/9

—–END PGP SIGNATURE—–

Το γεγονός αυτό έχει δημιουργήσει πολλά ερωτήματα σχετικά για τον βασικό προγραμματιστή του Inputs.Io (TradeFortress), ο οποίος δηλώνει ότι γνωρίζει σε βάθος την πολυπλοκότητα των πορτοφολιών Bitcoin. Σε σχετική ερώτηση στην Αυστραλιανή ραδιοφωνική εκπομπή AM, αρνήθηκε πως έχει πάρει ο ίδιος τα νομίσματα αν και δηλώνει πως δεν σκοπεύει να καταγγείλει το περιστατικό στις αρχές, επειδή όπως ισχυρίζεται είναι αδύνατος ο εντοπισμός των bitcoins. Όσον αφορά την επιστροφή των νομισμάτων στους χρήστες της υπηρεσίας, δήλωσε πως αυτή θα εξαρτηθεί από το ποσό: για 1 Bitcoin θα επιστραφεί το 74% της αξίας του, για 2 bitcoins το 65% κλπ. Με άλλα λόγια, αν είχατε λιγότερο από 1 BTC στο Inputs.Io μάλλον θα το λάβετε πίσω, διαφορετικά θα υποστείτε «κούρεμα».

Στο BitcoinX.gr επιμένουμε πως η ασφάλεια των χρημάτων μας, πρέπει να είναι μια συνεχής κι ενεργή πρακτική. Δεν θα πρέπει να επιδεικνύουμε μεγάλη εμπιστοσύνη σε Online υπηρεσίες αποθήκευσης και φύλαξης των νομισμάτων μας και θα πρέπει να είμαστε σε συνεχή εγρήγορση.

Μοιραστείτε το!

      
Υπό τις ετικέτες:

Μετά την ολοκλήρωση των σπουδών του στην πληροφορική, ο Αντώνης ξεκίνησε να δραστηριοποιείται επαγγελματικά στο χώρο των δικτύων ηλεκτρονικών υπολογιστών και συσκευών και της ασφάλειας υπολογιστικών συστημάτων, σε περιβάλλοντα Windows και Linux.

Η επαγγελματική του σταδιοδρομία έως τώρα, περιλαμβάνει μεταξύ άλλων παρόχους υπηρεσιών Internet, πολυεθνική ασφαλιστική εταιρία και μεγάλα ονόματα στον ελληνικό τραπεζικό χώρο. Πάντοτε προσηλωμένος στον αγαπημένο του κλάδο, την πληροφορική.

Ο Αντώνης ανακάλυψε το νέο και μαγικό κόσμο του Bitcoin το 2012. Αφού μελέτησε για μήνες τον τρόπο λειτουργίας του και κατανόησε τις εσωτερικές δομές του, πίστεψε και πιστεύει σθεναρά ότι το Bitcoin είναι μια από τις μεγαλύτερες ανακαλύψεις/εφευρέσεις του 21ου αιώνα. Για αυτό και δημιούργησε την πρώτη ελληνική ενημερωτική ιστοσελίδα σχετικά με το Bitcoin και τα κρυπτονομίσματα. Σκοπός του ήταν και παραμένει να μεταδώσει την πληροφορία και τη γνώση σε όλους τους ομιλούντες την Ελληνική γλώσσα.

Website: https://BitcoinX.gr/