Онлайн-кошелек Inputs.io стал жертвой хакерской атаки

hacker_internet_web_attack_580-100033460-galleryСлухи о том, что с онлайн-кошельком Inputs.io не все в порядке, ходили на форуме Bitcointalk в течении последней недели. Сегодня разработчик  и владелец сервиса, известный под ником TradeFortress, выпустил официальное заявление о том, что вынужден закрыть сервис в результате серьезной хакерской атаки.

В заявлении говорится:

«Я знаю, что это мало кого утешит, но очень сожалею о происшедшем — и это еще мягко сказано.»

Предполагалось, что Inputs.io станет «онлайн-кошельком повышенной безопасности», но реальность оказалась не такой радужной. Очевидно, сервис был взломан 23 октября, и хакеры украли биткойнов на сумму более 1,2 млн. долларов в текущих ценах.

В заявлении TradeFortress, опубликованном сегодня утром, также говорится:

«Две хакерских атаки нанесли ущерб на общую сумму около 4,100 BTC и привели к тому, что Inputs.io не в состоянии выплатить все балансы пользователям. Злоумышленник получил доступ к хостинг-аккаунту через захват учетных записей электронной почты (некоторые из них были старыми и без привязки к номеру телефона, так что он смог легко получить над ними контроль). Злоумышленник смог обойти 2-уровневую идентификацию из-за дефекта на стороне хостинг-сервера.

«Хакер получил доступ к базе данных, но пароли пользователей хранятся надежно, в виде хэша а не открытым текстом.

«Если у вас хранилось на Inputs.io более 1 BTC, отправьте письмо на support@inputs.ioа с вашим биткойн-адресом (предпочтительно, используйте безопасный оффлайн-кошелек, например Multibit или Electrum). Используйте e-mail, зарегистрированный на Inputs.io. Пожалуйста, не храните Bitcoins на компьютерах, подключенных к Интернет, независимо от того, ваш это компьютер или онлайн-сервисы.

Inputs.io-bitcoins-stolen

Согласно Hacker News, так же как и в случае кражи из сервиса Bitfloor (там было украдено 24 тысячи BTC), биткойны были выведены из «hot wallet» сервиса — подключенного биткойн-кошелька, который обслуживал оперативный ввод-вывод пользователей сервиса. Оказалось, что Inputs.io самоуверенно держал большинство своих монет в этом подключенном кошельке, в то время как общепринятой практикой для других сервисов является хранение до 80% фондов в офф-лайне.

Inputs.io заявил, что, хотя взлом состоялся 23-го октября, пострадают также и вкладчики, депозиты которых были сделаны после этой даты, так как другие пользователи могли за это время вывести средства из общего кошелька.

В отличие от такого популярного сервиса как Blockchain.info (который, хотя и считается более безопасным, тоже столкнулся с некоторыми проблемами в августе), Inputs.io держал все биткойны в общем кошельке и сам управлял балансом своих пользователей и всеми их секретными ключами — что и позволило хакеру получить полный доступ ко всем хранимым биткойнам.

Blockchain.info не имеет доступа к биткойнам своих пользователей, а только хранит их кошельки в зашифрованном виде. Доступа к счету защищен сложным идентификатором/псевдонимом, паролем и двухфакторной аутентификацией, что, как правило, считается безопасным. Однако, как и любая другая технология, ничто не дает 100% ной гарантии безопасности. Например, из обсуждения на форуме Bitcointalk (пользователь masteroflove):

«Если бы домен blockchain.info был скомпрометирован, ничего не помешает хакеру разместить там вредоносный JavaScript, который будет записывать ваши пароли и сможет в результате получить доступ ко всем вашему зашифрованному биткойн-кошельку. Именно поэтому рекомендуется использовать Chrome или Firefox плагин blockchain.info вместо доступа через браусер. Но даже это не дает 100% защиты, так как злоумышленник,  получивший полный доступ к учетным записям blockchain.info может протолкнуть вредоносное обновление плагина, которое установится если ваш браусер автоматически обновляет свои приложения.»

У людей накопилось много вопросов и претензий к  разработчику TradeFortress, который, хотя и скрывается за псевдонимом, все время утверждал, что обладает обширными знаниями в области безопасности вообще и глубоким пониманием процедур безопасности кошельков Bitcoin в частности.

Когда мы обратились к нему за комментариями, он сообщил, что «злоумышленник сумел скомпрометировать  старые учетные записи электронной почты, которые было легко сбросить и переустановить, так как у них не было привязки к телефону. Используя доступ к этим аккаунтам, хакер сбросил и перехватил и другие, что в конечном итоге позволило ему сбросить пароль учетной записи хостинга и получить контроль над панелью управления сайта после успешного обхода двухфакторной аутентификации на стороне хостинга.»

Он продолжил: «Мы не использовали  шифрования на стороне клиента; считали что это те так уж и надежно и только дает людям ложное чувство безопасности» .

На вопрос о том, сколько биткойнов Inputs.io сможет возместить пользователям, он ответил очень туманно: «Мы сможем вернуть (некоторым) до 100%. Это зависит от их остатка, который хранился у нас. Если остаток был более 1 BTC, то вернем 74%, для остатка более 2 BTC — 65%, далее по скользящей шкале… Эта цифра не является окончательной, и если у нас что-то останется [невостребованным], то возможно мы сможем вернуть и больше».

Другими словами, если у вас хранилось меньше 1 BTC на Inputs.io, вы должны получить все обратно, в противном случае, будьте готовы к тому, что ваши монеты «постригут».

Источник: CoinDesk



Categories: Безопасность, Криминал, Сервисы

Tags: , ,

Leave a Reply

2 Комментарий на "Онлайн-кошелек Inputs.io стал жертвой хакерской атаки"

Notify of
avatar
trackback
Таксономия биткойн-миксеров | Bit•Новости

[…] Дополнительные соображения, связанные с использованием централизованных услуг смешивания связаны с их безопасностью. Вы должны доверять сервису, надеясь что он не украдет ваши биткойны, и вы должны доверять их технической службе, надеясь что они способны защитить ваши биткойны от внешнего взлома и кражи. […]

trackback
Первый в мире сервис гарантированного хранения биткойнов | Bit•Новости

[…] валюты. В начале ноября подобный сервис Inputs.io перенес две хакерские атаки, в результате которых с кошельков клиентов сайта было […]

wpDiscuz