Всем привет!

Сей пост есть совершенно тупая история о том как я потерял доступ к аккаунтам на нескольких криптовалютных биржах где покупал различные щиткоины

В конце 2017 года когда рынок шел вверх, цена постоянно росла, и предела не было видно, я решил заняться безопасностью своих активов на биржах, коих было с десяток(от топовых тогда типа Кракена , Битфинэкс и Binance до говна без ликвидности типа livecoin и ЕХМО , а так же новые тогда Bibox, Kucoin, IDEX ). К тому моменту я имел на большинстве аккаунтов двухфакторную аутентификацию для каждого входа на платформу в виде приложения на телефоне Google 2 FA (6-значные коды доступа меняются каждые 30 секунд). Такая плюшка была включена не везде и я решил доподключить их все на свой смартфон.

Решено-сделано. И вот у меня с десяток кодов в смартфоне. Тут вдруг тревожные мысли. Вдруг я про..теряю телефон, или он загнется, или стырят..? Короче нужен бэкап.

Здесь стоит отметить что каждый раз при подключении нового 2ФА биржа предлагает записать код восстановления, на который я не обращал внимания(вот же бред, а?). Этот самый код требую в техподдержке биржи, ежели пишешь, что потерян доступ через 2ФА.

Гениальной мыслью тогда казалось создать бэкап на PC путем установки ЭМУЛЯТОРА андройд-устройства на комппьютере и переподключения 2FA  на синхронный режим (те же коды отображаются на смартфоне и в эмуляторе)

Я не глядя скачал первый попавшийся эмулятор MEMU, поставил на него гугл 2фа, переподключил коды на биржах и был рад какой я молодец.

Затем ударил медвежий тренд, все повалилось к чертям в тартар. Я решил ничего не сливать из активов на биржах (DIE HARD HODL), лишь вывел некоторые монеты на горячие кошельки.

За 2018 год не особо хотелось лезть и что-то делать в виду тотального медвежьего рынка, а посему, веря что у меня все схвачено, я подзабил на активность и занимался другими делами.

Время идет и в какой-то момент телефон с изначальными кодами 2FA благополучно теряется, но у нас же все отлично есть бэкап, так что все круто. Рынок находит дно на уровнях $3200 за BTC и я решаю провести ревизию своих активов.

Здесь стоит опять тормознуть и заметить что коды 2FA имеют интересные свойство быть валидными даже если смартфон не подключен к интернету и нету симкарты... какое-то время.

Иногда они сбиваются и в приложении есть функция синхронизации кодов. Рассинхронизация происходит переодически. Именно это и произошло с кодами в эмуляторе на ПК. Однако, функция синхронизации не была активна, ибо эмулятор не имел доступа в интернет, о чем заявлял при попытке синхронизировать коды. Сколько я не копался в настройках программы в винде, я так и не смог получить результат (маразм крепчал). По итогу - доступ на все биржи был заблокирован.

Далее идет общение с техподдержкой каждой биржи:

-Ребята привет, я потерял 2ФА  и надо все обнулить... ага код восстановления? ээээээ знаете что я его тоже потерял, такие дела...

Да, у меня есть почта и я могу подтвердить все депозиты и снятия, даты и количество монет, даже ID транзакции, номер блока и адрес кошелька.

В результате обнулили 2ФА:

- Bitfinex

- Binance

- Kraken

Не обнулили:

-Bibox

-Kucoin

-Idex

-Livecoin

-Bittrex

-Hitbtc

Техподдержка последних 6 бирж говорила о том, что инфы о депозитах и снятиях не достаточно чтоб верифицировать пользователя, ибо считают, что просто кто-то взломал мою почту и пытается получить доступ к активам на бирже. Мне конечно лестно такое отношение к моим активам, только блеать это я! АЛООООО!!!!

Часть этих бирж использовалась для того чтоб купить определенную монетку, так что ценность активов там невелика, но может быть это будет интересно тем, кто держит гораздо больше, чем я. Хотя они наверняка знают все эти тонкости... 

Короче, если вы дошли до сюда - БЕЗОПАСНОСТЬ это самое главное в критовалютной индустрии. Хранить средства на бирже тоже не самый лучший вариант. NOT YOUR KEYS = NOT YOUR COINS. Это правило никто не отменял. Криптовалюта учит, что человек есть сам хранитель своих денег. И дав человеку такую возможность, вся ответственность за сохранение средств так же лежит на нём. На эту тему отдельная история

Будьте осторожны!

Всем туземун)

Всем доброго времени суток ☺

В последний месяц заметил, что участились взломы учётных записей соц. сети ВК (да и на Пикабу заметил увеличение постов о скринах чатов о разводе на монетку), за 2 месяца взломали 4-х моих знакомых и мне от них приходили сообщения с темой помочь деньгами ... но как всегда проверить кто тебе пишет не так и сложно просто позвонить товарищу и спросить правда ли нужна материальная помощь (т.к. один раз правда друг просил денег кинуть немного)

Ну и используйте замечательную двухфакторную аутентификацию. Просто в настройках своего профиля любого сервиса и учётной записи, найдите параметр безопасность и изучите его и включите привязку к сотовому.

Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. (определение честно скопировано с blog.kaspersky.ru)

Благодарен за внимание ☺

Ashley Madison – это популярный канадский ресурс для пользователей, которые не против возможности покинуть амплуа верного супруга и поразвлечься на стороне. В основу для создания портала Ashley Madison была положена идея сайта для знакомств с целью супружеских измен, что становиться очевидным из надписи на его главной страничке - «Life is short. Have an affair», что в переводе на русский означает «Жизнь коротка. Заведи интрижку».

19 августа 2015 года стало «роковым днем» для многих пользователей сайта, а также для их супругов, так как группа хакеров The Impact Team успешно скомпрометировала 11,7 миллионов паролей пользователей и выложила в интернет данные 36-и миллионов человек, которые пользовались услугами Ashley Madison.

Список популярных паролей Ashley Madison

Команда взломщиков CynoSure Prime провела анализ данных о самых популярных паролях Ashley Madison и обнаружила, что более 15 миллионов из них было подобрано при помощи алгоритма MD5, существенно облегчающего брутфорс. Опубликованная статистика показывает, что среди 11 716 208 клиентов сайта лишь 4 867 246 человек использовали для защиты данных уникальный пароль, в то время как остальные юзеры совсем не беспокоились о безопасности конфиденциальной информации и использовали стандартные элементарные популярные пароли. Более того, в 630 000 случаях пасворд и имя пользователя полностью совпадали.

Большинство паролей оказались просты до примитивности – в основном буквы нижнего регистра, иногда с цифрами. Брутфорсить видимо начали согласно перечню самых распространенных паролей по версии списка 2005 года «500 наихудших паролей всех времен». И не прогадали. Десять наиболее популярных паролей 2015 года среди «изменщиков» Ashley Madison входят и в первую двадцатку самых легких паролей в мире.

Ниже приведен список самых частотных паролей по версии взломщиков Ashley Madison:

123456
12345
password
DEFAULT
123456789
qwerty
12345678
abc123
pussy
1234567

Как видим, большинство паролей, которыми пользуется человек, слишком просты и предсказуемы, но ввиду человеческой лени, отсутствия смекалки или неспособности к запоминанию сложных комбинаций, люди продолжают ими пользоваться. Таким образом, пользователи наступают на «грабли», которые в самый неподходящий момент приносят много нежданных неприятностей, «бьют» больно и по самым уязвимым местам, в случае с клиентами Ashley Madison – даже разрушают семьи.

Двухфакторная аутентификация – панацея от «предсказуемости» популярных паролей и идеальное решение для защиты данных

Эксперты считают, что взлом сайта Ashley Madison прошел успешно из-за невнимательности разработчиков ресурса, хотя достоверно неизвестно чья в этом вина. Вот только результат, как говорится, налицо. Начав свою работу еще в 2001 году, создатели сайта использовали одноэтапную аутентификацию с применением лишь логина и пароля. Однофакторная аутентификация для авторизации пользователей дала хакерам «все козыри», и они легко скомпрометировали все аккаунты.

Такого не случилось бы, если бы вход на сайт выполнялся посредством двухфакторной аутентификации, когда после ввода логина и пароля, на мобильный телефон, токен, или электронную почту юзера высылается одноразовый пароль. Этот временный пароль мог бы стать тем сдерживающим фактором, который защитил бы профиля неверных супругов от взлома, а их ни о чем не ведающих жен и мужей от неприятных открытий.