Niektórzy mają po prostu pecha, ale trzy włamania do dużej giełdy bitcoin skutkujące potężnymi stratami finansowymi w ciągu 5 miesięcy? Albo mamy do czynienia ze spiskiem, albo skrajnym przypadkiem niekompetencji.
W ostatnich miesiącach historii Bitcoinica.com, jednego z najbardziej innowacyjnych serwisów umożliwiających obrót bitcoinami, nie brakowało spektakularnych włamań. Zdarzały się one w mniej więcej dwumiesięcznych odstępach.
Włamanie pierwsze
Pierwszą dużą kradzież bitcoinów opisywaliśmy jeszcze w marciu tego roku. Włamywacze uzyskali wtedy dostęp do panelu zarządzania kontami użytkowników dużej firmy hostingowej i okradli osiem serwisów związanych z rynkiem waluty bitcoin. Bitcoinica była jedną z ofiar włamania – straciła wtedy ok. 200 tysięcy dolarów. Firma zmieniła dostawcę usług hostingowych, ale niewiele jej to pomogło…
Włamanie drugie
Drugi atak na Bitcoinica.com nastąpił poprzez włamanie na serwer pocztowy obsługujący jedno z kont administracyjnych. Konto to zostało wykorzystane do resetu hasła administratora w nowej firmie hostingowej. Straty tym razem wyniosły ok. 90 tysięcy dolarów. Po drugim włamaniu założyciel firmy postanowił się z nią całkowicie rozstać, a nowi właściciele zawiesili działalność serwisu do czasu stworzenia lepszej, bezpiecznej wersji platformy. Jednocześnie rozpoczął się proces zwrotu zamrożonych kwot, zdeponowanych przez użytkowników przed włamaniem.
Bitcoinica.com przed drugim włamaniem
Włamanie trzecie
6 dni temu w serwisie Reddit ktoś opublikował link do kompletnego kodu źródłowego poprzedniej wersji Bitcoinica.com. To z pozoru nieistotne wydarzenie miało duże znaczenie dla wczorajszego włamania. Pewnie zastanawiacie się, jak można włamać się do wyłączonego serwisu. Okazuje się, że wcale nie było takiej potrzeby. W opublikowanym kodzie źródłowym serwisu znajdował się bowiem klucz API do MtGox, największej giełdy bitcoin, gdzie Bitcoinica posiadała swoje konto wraz z pokaźnym zasobem środków. Oczywiście, po włamaniu z 11 maja wszystkie hasła dostępu zostały natychmiast zmienione, a klucze API zresetowane. Dopiero po włamaniu wyszło na jaw, że zapomniano o jednym haśle – do konta LastPass. A tym zapomnianym hasłem był właśnie klucz API, opublikowany w kodzie źródłowym. Włamywacz tajemniczym sposobem odgadł, że hasłem do LastPass może być klucz API, a po zalogowaniu się do serwisu mógł zapoznać się z aktualnym hasłem do konta na MtGox. Wykorzystał do maksimum dzienne limity transakcji, wyprowadzając 40 tysięcy dolarów i 40 tysięcy bitcoinów, powodując łącznie straty rzędu 350 tysięcy dolarów.
Podsumowanie
Czemu hasło nadrzędne do LastPassa było identyczne z kluczem API do MtGox? Skąd włamywacz wiedział, że właśnie to hasło trzeba wykorzystać? Czemu dopiero wczoraj doszło do trzeciej kradzieży? Co dalej z wypłatą środków dla poszkodowanych w drugim włamaniu? Cała sprawa zostawia więcej pytań, niż odpowiedzi. Czy będzie czwarte włamanie? Niewykluczone, ponieważ właściciele serwisu poinformowali, że ostatnia kradzież dotknęła „tylko” ok. 1/3 środków firmy.
Obecnych właścicieli serwisu niedbałość poprzedniej administracji kosztowała już 350 tysięcy dolarów. Jeśli Wy też używacie w dwóch ważnych miejscach tego samego hasła, czas je zmienić, zanim to o Was napiszemy kolejny artykuł.
Komentarz