Как да загубите биткойни на стойност 8 000 долара за 15 минути с Verizon и Coinbase.com

Започва с текстово съобщение от Verizon

23:31

О, момче. След секунди се обаждам на номера и получавам това.

„Здравейте, добре дошли в Verizon. Нашите офиси вече са затворени. Часовете ни са между 8 и 23 ч. В делничните дни ... ”

Обаждам се отново и многократно докосвам нула, за да опитам да се свържа с оператор. Без зарове. Минута по-късно получавам дублирано текстово съобщение.

Скрийншот и туитър към поддръжката на Verizon.

Изминават невероятно тревожни минути, когато се опитвам да стигна до Verizon. Гугъл „Линия за предотвратяване на измами от Verizon“, търсейки номер за обаждане и не получавам нищо.

НЯМА ТЕЛЕФОНЕН БРОЙ НИКОГА, КОЙТО ДА СЕ НАМЕРИ

23:37

23:38 ч

23:40 ч

23:41 - Gmail излиза.

Напълно съм в тъмнината.

23:42 - Паролата за Coinbase се нулира

Сесийната ми бисквитка все още не ме изрита, така че гледам това в реално време.

23:34 - Потвърждение на ново устройство на Coinbase

23:44 - изпратено 1,18 BTC

23:45 - изпратено 70,96 LTC

23:46 - Изпратено 16.03 ETH

Фондът за надежди и мечти на Adios - $ 8 000 + няма за 15 минути.

Хакерът изтри тези имейли, но google ги възстанови

Как така, аз бях толкова заслепен?

Преди да започнем, си струва да споменем, че да, yesssssssssssssssssssss, нямах достатъчно защита около моя акаунт в Gmail. Преди съм използвал Google Удостоверител, за моя личен акаунт и за различни работни имейли, но спрях да го използвам в определен момент от удобство. Изразявам дълбоко съжаление за това и със сигурност можете да кажете: „ХА, ТИ СЛЕДВАШ ТОВА ДА СИ СМИРАМ, МОЯТ БИТКОЙН Е НА ЕКРИПИРАН ТУМБРИВ В ТАЙНА СИСТЕМА ЗА СТРАНА НА СТРАНА НА ЛОКБОКС.“ Но там има много зрители на монети със сходни. уязвимост и тъй като повече новаци се присъединят, тази уязвимост ще стане само по-голям проблем.

От всички неща, които се понижиха във факторите, водещи до този хак, Verizon Wireless е това, за което бях масово неподготвен. След като продължително разговарях с представителите на обслужването на клиенти, научих, че хакерът няма нужда да им дава моя пинов номер или моя социален осигурителен номер и успя да получи одобрение за поемане на номера на мобилния ми телефон с проста информация за плащане. Това взриви ума ми и изглеждаше небрежно извън всяка възможна причина, но това е, което правят. Основното, което ме удари от хака, беше възможната скорост на извличане в сегашната екосистема на криптовалутата. 8 000 долара за 15 минути са по-бързи и доходоносни от ограбването на крайградска банка.

Защо бях насочен

Най-добрата работна теория за това, защо бях насочена, беше този туит, който направих миналата седмица за Coinbase.com. Приятел на приятел бе хакнат от Coinbase и той не се беше чувал от никого от екипа за поддръжка на Coinbases от няколко дни. Като молба за помощ той помоли хората да помогнат да излезе думата в Twitter. Направих, получих RTT китка и за моя невероятен наивност, нямах представа, че по същество прикрепям на гърба си знак „Ограби ме“.

И сега, ето ме тук. Опитах се да помогна на някой да привлече вниманието на Coinbase за измама, прецаках се и сега се опитвам да привлека вниманието на Coinbase.com за измама. Официалният туитър за поддръжка на Coinbase е отговорил веднъж, след което е изпратен бот по имейл, с разкритие, че може да минат седмици, преди да получа единичен отговор на въпроса си.

отчаяние

Никога досега не съм губил пари навсякъде близо до този мащаб. Израснах в семейство, което е особено консервативно, що се отнася до парите и това удря на емоционално ниво, което е трудно да се разклатиш. Подобно на мнозина знам, че има много рискове, когато става въпрос за криптовалута, това е хазарт, но единственото нещо, което не очаквате да се случи, е да бъдете ограбени за секунди на сайт с по-чист дизайн на потребителски интерфейс от Chase Bank ,

Нямам идея дали ще успея да възстановя някоя от тези пари, но смятам, че единственото нещо, което мога да направя с това чувство на ярост / тъга, е да пробвам и да разопаковам уязвимостите, така че другите да се прецакат по-малко.

Нещата, които Verizon Wireless може да направи

  • Добавете допълнителни слоеве за контрол на всяко лице, което се обажда и иска да „смени телефони“. Общата информация за фактуриране беше достатъчна за прехвърлянето на моя номер и аз бях затънал от това. Безумно е, че Verizon и други безжични компании не са положили реални усилия да се противопоставят на този хак и още по-луд, че не са били съдени за груба небрежност.
  • Направете спешни текстови сигнали, които могат да се предприемат чрез SMS. Ако получих оригиналния сигнал и успях да изпратя отговор, спирайки го или дори го забавяйки, целият този хак щеше да спре в неговите песни. Вместо това ми казаха „веднага“ да се обадя на номер за Verizon, че никой не беше там, за да отговори.
  • Направете горещата линия за измами Verizon достъпна и видима за вашите клиенти. Това отне 45 минути минути от яростно Twitter DMing, преди да успея да взема номера, който ми трябва, за да се свържа с истински човек в Verizon. За всеки, който търси това в бъдеще, числото е 1- (888) 483–7200.
  • Кажете на клиента си какво се е случило с неговия акаунт. Прекарах няколко часа, докато поддръжката на Verizon беше отхвърлена от отдел „Измами“ към отдел „Правен“ към отдел „Поддръжка на потребителите“. От никого получих много малко, те нямаше да публикуват подробности за разговора, освен ако не наех адвокат, който да ме представлява.

Неща, които Coinbase.com може да направи

Скъпи Боже Coinbase. Откъде дори започваме.

  • Направете активирането на Google Удостоверител задължително изискване * за съхранение на всякакви монети в Coinbase.com. SMS 2FA е разбит, но измамно защитен, особено за новите участници.
  • Направете 24 -7 гореща линия за измами достъпна за вашите клиенти. Twitter и имейл са нарушени механизми за реакция, когато скоростта е от съществено значение.
  • Значително ограничете броя на новите потребители, които приемате на вашата борса, докато не разполагате с ресурси за поддръжка, за да ги покриете. Вие спечелихте 400 000 потребители за 30 дни, ЧЕТИРИ СТОМАНИЯ ХИЛЯД, и много от тези потребители са изключително нови в сигурността.
  • Поставете основна защита срещу измами, когато някой влезе в акаунт на ново устройство, след което се опита да ликвидира акаунт. Едночасово закъснение можеше да спре този хак в неговите песни.
  • Направете режимите по подразбиране за прехвърляне на монета значително по-патерналистични за новите потребители.
  • Създайте застрахователна полица за лични сметки. Да, тази политика би била изключително уязвима към измами, но това е вашата основна компетентност, намерете начин.

Неща, които можете да направите, за да подсигурите вашите монети

След атаката посегнах към приятели с много опит в криптовалутата и това са техните съвети.

  • Не говори за биткойн клуб. Не говорете публично онлайн, с истинската си идентичност, за вашите сделки или борсите. Знам, че е късно за някои (със сигурност за мен!) И не трябва да е така, но това ви прави по-малко цел. Дори ако монетите ви са правилно обезопасени.
  • Ако ще публикувате в reddit, twitter и т.н. относно криптовалутата, използвайте далеч премахнат псевдоним.
  • Използвайте отделен, секретен имейл за вашите акаунти на монети и не препращайте сигналите към личния си имейл акаунт.
  • Използвайте 2FA - SMS не се брои. Нямах представа колко лесно Verizon и други го правят за хората да прекарват телефона ви с основна информация в рамките на минути. Уверете се, че използвате GAuth или Authy или нещо друго, поддържащо TOTP маркери; помислете за FIDO U2F устройство и за вашия gmail акаунт.
  • Ако настоявате да оставите парите си на coinbase.com, след това ги съхранявайте в техния „трезор“. Това ще ви даде буфер от няколко дни, преди някое от вашите неща да бъде докоснато, поне няма да изчезне веднага.
  • Обадете се на компанията си за мобилни телефони и им кажете, че е вероятно да сте насочени към социалното инженерство. Поискайте повече проверка за отправяне на заявки.
  • Съхранявайте монетите си във физически портфейл. Технически всички пари, които имате в замяна, не са ваши - просто имате IOU от насрещната страна. Най-добрата практика за запазване на вашите монети е с хардуерен портфейл като Ledger Nano S. Това е само 60 долара или около това означава, че някой ще трябва да въведе физически щифт и да потвърди транзакция или да открадне резервното ви семе за достъп до вашите средства.

Не се отказвам от крипто

Присъединих се към Coinbase.com през 2015 г., имах различни позиции на BTC през годините и виждах свръх да идват и си отиват. Мисля, че ние сме близо до истинска точка на прегъване с приемането, но сме на опасно място, тъй като цената на BTC / ETH скокове и ноуби удари на пазара.

Четиристотин хиляди души се присъединиха към Coinbase.com през последните тридесет дни. Тази група има значително различни нужди и очаквания за сигурност от първоначалните 400 000, които се присъединиха към Coinbase през 2012 г. Ако тази нова група не е защитена съвкупно, съдебните дела ще летят, финансовият живот ще бъде съсипан и мечтата, че биткойн в крайна сметка ще удари 50 000 долара, ще да се превърне в мъгла фантазия. Вижте Reddit на Coinbase, ако искате допълнителен вкус на случващото се.

Въпреки това, аз съм готов да се обзаложа, че Coinbase или някой друг ще се развие значително и в крайна сметка ще го разбера. Много от проблемите, които водят до моето хакване на Coinbase, са адресирани с повече патерналистичен софтуер, откриване на измами и адекватен екип за поддръжка, който може да се достигне 24–7. Красотата на blockchain е, че можете да създадете предложение за потребителите на всичко отгоре, което работи много повече като банка и може да съществува до борса, подходяща за всеки, който купува и продава огромни, рискови суми всеки ден.

Трудно е да разбереш колко брутално е да започнеш с това ниво на бързи финансови загуби, освен ако сам не си бил там. BTC, който имах в моята Coinbase, се събираше с години, а ETH и LTC позицията бяха по-скорошни. Обвинявам се, че не съм направил достатъчно проучвания за сигурност и също знам, че тези отвори са невероятно обичайни за другите. Ако не се случат огромни промени, толкова много други вероятно ще се ограбят и репутацията на криптовалутите като цяло ще се влоши. Единственото нещо, което наистина е за да защити тези новодошли, е самата общност на криптовалутите. Моля, нека моето обилно нещастие да бъде суров предупредителен знак. Информирайте приятелите си. Не се доверявайте по подразбиране на Coinbase. Не мислете, че това няма да ви се случи. Спрете да четете това и обезопасете монетите си веднага.

Направи го.

Спри да превърташ.

...

* Актуализация *

Правна. Мнозина ме насърчиха да намеря адвокат, който да работи чрез някои опции срещу Verizon и Coinbase. Ако знаете за лауър или фирма, която може да е добра, моля, снимайте ми DM (моите DM са отворени). Нямам много ресурси да преследвам това, така че всеки общ съвет би бил полезен.

Съдебен иск срещу Verizon и / или CoinBase.com. Явно вече има дело в движение (научавам повече за това). Ако и вие сте били засегнати от подобна ситуация в CoinBase, изпратете ми съобщение, за да можем да споделяме истории.

Дарения. Еха. Някои много щедри хора от общността на биткойните поискаха да дарят на бакшиш или да помогнат за финансиране на дело. Това е страхотно от вас и се оценява масово.

LTC: LbZnJ8QWc581bm6iu6STpbKVq9RDv1Yqbd (в момента на $ 250 USD)

ETH: 0x6877Ae8e428E0A989Aac250A1D09f98463277AbA (в момента $ 40USD)

BTC: 188itMZTQx1PcbuCdpjBkdBLUKjJRcdPoj (в момента на ~ $ 280 USD)

Hugggge благодарение на @BTCXBTDEV.