szukaj

09.03.2015 | 11:06

avatar

Adam Haertle

Dzięki swojej wyjątkowej głupocie hazardzista stracił 100 BTC

Bez względu na to, ile czasu spędzimy na edukowaniu użytkowników, ile artykułów o bezpieczeństwie znajdzie się w internecie, ile będzie poradników i instrukcji, jak pilnować swoich kont, zawsze znajdzie się ktoś, kto zignoruje wszystkie porady.

Niektóre przypadki niewłaściwego zabezpieczania kont w serwisach internetowych jesteśmy w stanie zrozumieć. Skrzynka pocztowa na którą przychodzi jedynie spam, konto na forum założone tylko po to, by napisać jedną odpowiedź – sami używamy tam prostych haseł. Ale konto, na które przelewamy 100 BTC? To już chyba przesada.

Tajemnicza kradzież

Na forum bitcointalk.org trafiliśmy dzisiaj na ciekawy wątek. Zaczął się on od skargi klienta, który stracił sporo pieniędzy (ponad 100 000 PLN w momencie kradzieży). Klient pisze, że zasilił swoje konto w serwisie hazardowym Primedice kwotą 100 BTC. Zanim jednak zdążył obstawić pierwszy zakład, bitcoiny zniknęły. Pierwszą reakcją klienta było oskarżenie właścicieli serwisu o kradzież – bo przecież któż inny mógłby tak szybko ukraść jego środki. Na forum zrobiła się mała burza – Primedice uważane było za dość rzetelny serwis i większość zakładała, że mogło dojść po prostu do błędu aplikacji. Prawda okazała się dużo ciekawsza.

Interfejs serwisu

Interfejs serwisu

Śledztwo

Właściciel serwisu przeprowadził śledztwo by ustalić przebieg wydarzeń. Najpierw potwierdził, że do transferu środków faktycznie doszło – krótko po zasileniu konta przelew został wysłany na inny rachunek poza serwisem. Następnie ustałi, że do transferu doszło z użyciem standardowych mechanizmów serwisu – ktoś zatem albo znalazł sposób na ominięcie uwierzytelnienia albo poznał hasło użytkownika. Niestety – czego nie do końca rozumiemy – serwis nie rejestrował adresów IP związanych z udanymi lub nieudanymi próbami logowania, zatem brak było śladów po ewentualnym intruzie.

Właściciel twierdzi, że mechanizm haszowania haseł, z którego korzysta serwis, praktycznie wykluczał możliwość, by ktoś mógł hasło poznać na podstawie jego skrótu przechowywanego w bazie. Teoria dość śmiała – bo jak pewnie większość z Was wie wszystko jest kwestią złożoności hasła i mocy obliczeniowej oraz czasu, ale w śledztwie przyjęto, że ten wariant odpada.

Epilog

Odgadnięcie hasła użytkownika również było mało prawdopodobne. Serwis już od dłuższego czasu ukrywa loginy swoich użytkowników a oprócz tego wprowadził dość restrykcyjne ograniczenia dotyczące ilości możliwych prób logowania na to samo konto. Włamanie mogło pozostać tajemnicą gdyby nie sam użytkownik, który przyznał się do drobnego błędu. Poinformował administrację serwisu, że jego login i hasło wyglądały następująco:

login: DiceMiner2
hasło: diceminer2

Tak. To nie jest błąd. Konto zawierające 100 BTC zabezpieczył hasłem identycznym jak login – pomijając wielkość liter. A skąd złodziej znał login? Użytkownik swobodnie korzystał z niego – choć nie musiał – na czacie serwisu. W tym wypadku trzeba uczciwie nazwać stracona kwotę 100 BTC podatkiem od głupoty.

Powrót

Komentarze

  • avatar
    2015.03.09 11:19 Dorian

    mistrz <3

    Odpowiedz
  • avatar
    2015.03.09 11:37 Monika

    śmiechlam

    Odpowiedz
  • avatar
    2015.03.09 12:18 Adam (inny :) )

    A mnie z drugiej strony przeraża, że taka banda ####### sobie skanuje każdy możliwy login, dopasowuje sobie hasła i wychodzi na #wygrywa, ku społecznej akceptacji…
    To jak hurtowe bieganie godzinami z maczetą po ulicy wzdłuż dużego miasta…

    Odpowiedz
    • avatar
      2015.03.09 18:08 kez87

      Po pierwsze – z maczetą jednak przesada – z wytrychami na widoku ;) Po drugie: na normalnych serwerach są logi i takie rzeczy jak nieprawidłowa próba logownia jednak są wyłapywane.W clearnecie – zakładam,że serwis hazardowy był TORowy,więc i tak g… z tych logów – bo nie każdy ma jednak jakiś „sposób na TORa” – nie ? ;) Po czwarte: jeśli ktoś jest KRETYNEM z gatunku takich który nosi złoto na szyi i zostawia w otwartym i mającym szklane ściany mieszkaniu w środku miasta sztabki złota bez nadzoru, to W PEŁNI zasługuje na to,co się stanie. Zresztą naprawdę wierzycie,że zarobiłby cokolwiek w takim serwisie hazardowym? Jakiś maciupeńki ułamek bitcoina ? No błagam… Owszem,muszę się przyznać do frajerstwa,trochę razy puściłem w desperacji lotka,nawet statystycznie miałem sporego farta bo z 3 zakładów na 9-11 wróciła niewielka kasa i to bez matematyki (ale raczej nie planuję zakładania gabinetu ze szklaną kulą,nie jestem też Wróżbitą Maciejem ;) ) – ale mieć w danym momencie taką sumę jak 100k zł i grać w gry losowe ? 100 k zł = 12 miesięcy zarabiania ponad 8300 na rękę. Dla kogoś kto zarabia minimalną (używając kwot z tego rocznika) to nawet cena włożenia w coś 6 i pół roku życia ! Ja mając połowę tej sumy do dyspozycji miałbym szansę jakoś sensowniej urządzić sobie życie – pewnie wiele osób które czytają tutaj – też ! Żeby przepieprzyć taką sumę na hazard i taką sumę stawiać w BTC,to trzeba być chorym umysłowo albo Kulczykiem czy Arabskim Szejkiem. Ani trochę nie szkoda mi typa.Ani trochę. Więcej.Gdyby mu za to odcięto łeb maczetą o której wspomniałeś, to też bym go chyba nie żałował.

      Odpowiedz
      • avatar
        2015.03.11 23:28 MSM

        Nasz hazardzista prawdopodobnie nie jest z polski, więc szansa że zarabia minimalną (polską) jest bardzo niska. A przy zachodnich zarobkach ta kwota jest… dalej duża, ale już nie aż tak.

        Odpowiedz
  • avatar
    2015.03.09 13:04 Borys Łącki

    Zdecydowanie po stronie aplikacji/serwisu zabrakło weryfikacji stopnia skomplikowania hasła przez użytkownika. Nie powinni zezwalać na używanie takich haseł.

    Odpowiedz
    • avatar
      2015.03.09 14:59 Adam (inny :) )

      Jak oni nawet porządnych logów nie mieli…

      Odpowiedz
    • avatar
      2015.03.09 15:40 Krzysiek

      Restrykcje na hasła powinno się w ogóle zlikwidować lub ograniczyć do minimum. Selekcja naturalna szybo by przesiała tego typu durniów.

      Odpowiedz
    • avatar
      2015.03.09 18:50 linoskoczek

      Jakoś mi go nie szkoda…

      Odpowiedz
    • avatar
      2015.03.11 23:26 MSM

      Dlaczego nie powinni?

      Odpowiedz
  • avatar
    2015.03.09 13:14 Macius

    hazardzista który dysponuje 100btc? Trochę to naciągane… fakiem śmierdzi na kilometr

    Odpowiedz
    • avatar
      2015.03.09 13:18 adamh

      Właściciel serwisu pisze, że ma takich graczy co najmniej kilku. Po co miałby kłamać i tworzyć całą historię?

      Odpowiedz
    • avatar
      2015.03.09 14:16 mac

      Macius Ty nie wiesz ile ludzie potrafią mieć BTC. Przypominam, że to kiedyś stało po 20 PLN.

      Odpowiedz
    • avatar
      2015.03.09 15:35 bmpte

      100 BTC to jest pikuś, wystarczy że trzymał je od czasów gdy BTC kosztował grosze ;) ;) ;)
      Ta suma (100 BTC) nie robiłą w sumie wrażenia gdzieś 2 lata temu – sam „znam” (bo to takie anonimowe znanie) ludzi którzy mieli (albo jako dotacje, albo drobne płatności za jakieś bzdurki itd.) łącznie większe bitcoiny – tylko większość już dawno je spieniężyła (niektórzy w dobrych momentach – w szczycie kursu, ale większość jednak po kiepskim kursie – patrząc z perspektwy czasu).

      Odpowiedz
      • avatar
        2015.03.09 18:59 Macius

        bmpt: tylko że ten gość to hazardzista a takie osoby raczej nie cechują się zbytnio racjonalnym gospodarowaniem pieniędzmi żeby je trzymać przez ileś lat. Po za tym nagle by przelał tyle kasy po to żeby sobie pobrać? Ja widzę 2 wyjaśnienia: albo to fake, albo gość się 'nagle’ wzbogacił.

        Odpowiedz
    • avatar
      2015.03.15 01:36 Krzysiu

      W Las Vegas też sami biedni? A gracze na giełdzie? A jakie są zarobki w hazardowych turniejach? Hazard to nie tylko baraki-mordownie, jak u nas. To też gruba kasa. Raz masz milion, raz wisisz milion. Ale 100 BTC to nic wielkiego, jak na hazardzistę.

      Odpowiedz
    • avatar
      2015.03.20 23:57 Maciej

      czytalem o grze o kilka milionow dolarow na pokerstars net chyba portalu

      Odpowiedz
  • avatar
    2015.03.10 13:20 anonim_nie_dlaZ3S

    100k PLN to obrotny facio handlujący trafką na lokalnym podwórku odkłada w kilka miesięcy. Nie sądzę, by taką kwotę przeznaczył ciężko pracujący robotnik czy biurwa na kości. IMHO kasa z czarnej strefy, albo wyprana, albo zajebana (double facepalm to za mało, chociaż ciężko uwierzyć w wiarygodność historyjki).

    Odpowiedz
    • avatar
      2015.03.11 03:00 Stachu

      Albo ryzykowna lecz glosna kampania marketingowa serwisu hazardowego

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dzięki swojej wyjątkowej głupocie hazardzista stracił 100 BTC

Komentarze