Bez względu na to, ile czasu spędzimy na edukowaniu użytkowników, ile artykułów o bezpieczeństwie znajdzie się w internecie, ile będzie poradników i instrukcji, jak pilnować swoich kont, zawsze znajdzie się ktoś, kto zignoruje wszystkie porady.
Niektóre przypadki niewłaściwego zabezpieczania kont w serwisach internetowych jesteśmy w stanie zrozumieć. Skrzynka pocztowa na którą przychodzi jedynie spam, konto na forum założone tylko po to, by napisać jedną odpowiedź – sami używamy tam prostych haseł. Ale konto, na które przelewamy 100 BTC? To już chyba przesada.
Tajemnicza kradzież
Na forum bitcointalk.org trafiliśmy dzisiaj na ciekawy wątek. Zaczął się on od skargi klienta, który stracił sporo pieniędzy (ponad 100 000 PLN w momencie kradzieży). Klient pisze, że zasilił swoje konto w serwisie hazardowym Primedice kwotą 100 BTC. Zanim jednak zdążył obstawić pierwszy zakład, bitcoiny zniknęły. Pierwszą reakcją klienta było oskarżenie właścicieli serwisu o kradzież – bo przecież któż inny mógłby tak szybko ukraść jego środki. Na forum zrobiła się mała burza – Primedice uważane było za dość rzetelny serwis i większość zakładała, że mogło dojść po prostu do błędu aplikacji. Prawda okazała się dużo ciekawsza.
Śledztwo
Właściciel serwisu przeprowadził śledztwo by ustalić przebieg wydarzeń. Najpierw potwierdził, że do transferu środków faktycznie doszło – krótko po zasileniu konta przelew został wysłany na inny rachunek poza serwisem. Następnie ustałi, że do transferu doszło z użyciem standardowych mechanizmów serwisu – ktoś zatem albo znalazł sposób na ominięcie uwierzytelnienia albo poznał hasło użytkownika. Niestety – czego nie do końca rozumiemy – serwis nie rejestrował adresów IP związanych z udanymi lub nieudanymi próbami logowania, zatem brak było śladów po ewentualnym intruzie.
Właściciel twierdzi, że mechanizm haszowania haseł, z którego korzysta serwis, praktycznie wykluczał możliwość, by ktoś mógł hasło poznać na podstawie jego skrótu przechowywanego w bazie. Teoria dość śmiała – bo jak pewnie większość z Was wie wszystko jest kwestią złożoności hasła i mocy obliczeniowej oraz czasu, ale w śledztwie przyjęto, że ten wariant odpada.
Epilog
Odgadnięcie hasła użytkownika również było mało prawdopodobne. Serwis już od dłuższego czasu ukrywa loginy swoich użytkowników a oprócz tego wprowadził dość restrykcyjne ograniczenia dotyczące ilości możliwych prób logowania na to samo konto. Włamanie mogło pozostać tajemnicą gdyby nie sam użytkownik, który przyznał się do drobnego błędu. Poinformował administrację serwisu, że jego login i hasło wyglądały następująco:
login: DiceMiner2 hasło: diceminer2
Tak. To nie jest błąd. Konto zawierające 100 BTC zabezpieczył hasłem identycznym jak login – pomijając wielkość liter. A skąd złodziej znał login? Użytkownik swobodnie korzystał z niego – choć nie musiał – na czacie serwisu. W tym wypadku trzeba uczciwie nazwać stracona kwotę 100 BTC podatkiem od głupoty.
Komentarze
mistrz <3
śmiechlam
A mnie z drugiej strony przeraża, że taka banda ####### sobie skanuje każdy możliwy login, dopasowuje sobie hasła i wychodzi na #wygrywa, ku społecznej akceptacji…
To jak hurtowe bieganie godzinami z maczetą po ulicy wzdłuż dużego miasta…
Po pierwsze – z maczetą jednak przesada – z wytrychami na widoku ;) Po drugie: na normalnych serwerach są logi i takie rzeczy jak nieprawidłowa próba logownia jednak są wyłapywane.W clearnecie – zakładam,że serwis hazardowy był TORowy,więc i tak g… z tych logów – bo nie każdy ma jednak jakiś „sposób na TORa” – nie ? ;) Po czwarte: jeśli ktoś jest KRETYNEM z gatunku takich który nosi złoto na szyi i zostawia w otwartym i mającym szklane ściany mieszkaniu w środku miasta sztabki złota bez nadzoru, to W PEŁNI zasługuje na to,co się stanie. Zresztą naprawdę wierzycie,że zarobiłby cokolwiek w takim serwisie hazardowym? Jakiś maciupeńki ułamek bitcoina ? No błagam… Owszem,muszę się przyznać do frajerstwa,trochę razy puściłem w desperacji lotka,nawet statystycznie miałem sporego farta bo z 3 zakładów na 9-11 wróciła niewielka kasa i to bez matematyki (ale raczej nie planuję zakładania gabinetu ze szklaną kulą,nie jestem też Wróżbitą Maciejem ;) ) – ale mieć w danym momencie taką sumę jak 100k zł i grać w gry losowe ? 100 k zł = 12 miesięcy zarabiania ponad 8300 na rękę. Dla kogoś kto zarabia minimalną (używając kwot z tego rocznika) to nawet cena włożenia w coś 6 i pół roku życia ! Ja mając połowę tej sumy do dyspozycji miałbym szansę jakoś sensowniej urządzić sobie życie – pewnie wiele osób które czytają tutaj – też ! Żeby przepieprzyć taką sumę na hazard i taką sumę stawiać w BTC,to trzeba być chorym umysłowo albo Kulczykiem czy Arabskim Szejkiem. Ani trochę nie szkoda mi typa.Ani trochę. Więcej.Gdyby mu za to odcięto łeb maczetą o której wspomniałeś, to też bym go chyba nie żałował.
Nasz hazardzista prawdopodobnie nie jest z polski, więc szansa że zarabia minimalną (polską) jest bardzo niska. A przy zachodnich zarobkach ta kwota jest… dalej duża, ale już nie aż tak.
Zdecydowanie po stronie aplikacji/serwisu zabrakło weryfikacji stopnia skomplikowania hasła przez użytkownika. Nie powinni zezwalać na używanie takich haseł.
Jak oni nawet porządnych logów nie mieli…
Restrykcje na hasła powinno się w ogóle zlikwidować lub ograniczyć do minimum. Selekcja naturalna szybo by przesiała tego typu durniów.
Jakoś mi go nie szkoda…
Dlaczego nie powinni?
hazardzista który dysponuje 100btc? Trochę to naciągane… fakiem śmierdzi na kilometr
Właściciel serwisu pisze, że ma takich graczy co najmniej kilku. Po co miałby kłamać i tworzyć całą historię?
Macius Ty nie wiesz ile ludzie potrafią mieć BTC. Przypominam, że to kiedyś stało po 20 PLN.
100 BTC to jest pikuś, wystarczy że trzymał je od czasów gdy BTC kosztował grosze ;) ;) ;)
Ta suma (100 BTC) nie robiłą w sumie wrażenia gdzieś 2 lata temu – sam „znam” (bo to takie anonimowe znanie) ludzi którzy mieli (albo jako dotacje, albo drobne płatności za jakieś bzdurki itd.) łącznie większe bitcoiny – tylko większość już dawno je spieniężyła (niektórzy w dobrych momentach – w szczycie kursu, ale większość jednak po kiepskim kursie – patrząc z perspektwy czasu).
bmpt: tylko że ten gość to hazardzista a takie osoby raczej nie cechują się zbytnio racjonalnym gospodarowaniem pieniędzmi żeby je trzymać przez ileś lat. Po za tym nagle by przelał tyle kasy po to żeby sobie pobrać? Ja widzę 2 wyjaśnienia: albo to fake, albo gość się 'nagle’ wzbogacił.
W Las Vegas też sami biedni? A gracze na giełdzie? A jakie są zarobki w hazardowych turniejach? Hazard to nie tylko baraki-mordownie, jak u nas. To też gruba kasa. Raz masz milion, raz wisisz milion. Ale 100 BTC to nic wielkiego, jak na hazardzistę.
czytalem o grze o kilka milionow dolarow na pokerstars net chyba portalu
100k PLN to obrotny facio handlujący trafką na lokalnym podwórku odkłada w kilka miesięcy. Nie sądzę, by taką kwotę przeznaczył ciężko pracujący robotnik czy biurwa na kości. IMHO kasa z czarnej strefy, albo wyprana, albo zajebana (double facepalm to za mało, chociaż ciężko uwierzyć w wiarygodność historyjki).
Albo ryzykowna lecz glosna kampania marketingowa serwisu hazardowego