Dzięki swojej wyjątkowej głupocie hazardzista stracił 100 BTC

dodał 9 marca 2015 o 11:06 w kategorii Włamania  z tagami:
Dzięki swojej wyjątkowej głupocie hazardzista stracił 100 BTC

(źródło: btckeychain)

Bez względu na to, ile czasu spędzimy na edukowaniu użytkowników, ile artykułów o bezpieczeństwie znajdzie się w internecie, ile będzie poradników i instrukcji, jak pilnować swoich kont, zawsze znajdzie się ktoś, kto zignoruje wszystkie porady.

Niektóre przypadki niewłaściwego zabezpieczania kont w serwisach internetowych jesteśmy w stanie zrozumieć. Skrzynka pocztowa na którą przychodzi jedynie spam, konto na forum założone tylko po to, by napisać jedną odpowiedź – sami używamy tam prostych haseł. Ale konto, na które przelewamy 100 BTC? To już chyba przesada.

Tajemnicza kradzież

Na forum bitcointalk.org trafiliśmy dzisiaj na ciekawy wątek. Zaczął się on od skargi klienta, który stracił sporo pieniędzy (ponad 100 000 PLN w momencie kradzieży). Klient pisze, że zasilił swoje konto w serwisie hazardowym Primedice kwotą 100 BTC. Zanim jednak zdążył obstawić pierwszy zakład, bitcoiny zniknęły. Pierwszą reakcją klienta było oskarżenie właścicieli serwisu o kradzież – bo przecież któż inny mógłby tak szybko ukraść jego środki. Na forum zrobiła się mała burza – Primedice uważane było za dość rzetelny serwis i większość zakładała, że mogło dojść po prostu do błędu aplikacji. Prawda okazała się dużo ciekawsza.

Interfejs serwisu

Interfejs serwisu

Śledztwo

Właściciel serwisu przeprowadził śledztwo by ustalić przebieg wydarzeń. Najpierw potwierdził, że do transferu środków faktycznie doszło – krótko po zasileniu konta przelew został wysłany na inny rachunek poza serwisem. Następnie ustałi, że do transferu doszło z użyciem standardowych mechanizmów serwisu – ktoś zatem albo znalazł sposób na ominięcie uwierzytelnienia albo poznał hasło użytkownika. Niestety – czego nie do końca rozumiemy – serwis nie rejestrował adresów IP związanych z udanymi lub nieudanymi próbami logowania, zatem brak było śladów po ewentualnym intruzie.

Właściciel twierdzi, że mechanizm haszowania haseł, z którego korzysta serwis, praktycznie wykluczał możliwość, by ktoś mógł hasło poznać na podstawie jego skrótu przechowywanego w bazie. Teoria dość śmiała – bo jak pewnie większość z Was wie wszystko jest kwestią złożoności hasła i mocy obliczeniowej oraz czasu, ale w śledztwie przyjęto, że ten wariant odpada.

Epilog

Odgadnięcie hasła użytkownika również było mało prawdopodobne. Serwis już od dłuższego czasu ukrywa loginy swoich użytkowników a oprócz tego wprowadził dość restrykcyjne ograniczenia dotyczące ilości możliwych prób logowania na to samo konto. Włamanie mogło pozostać tajemnicą gdyby nie sam użytkownik, który przyznał się do drobnego błędu. Poinformował administrację serwisu, że jego login i hasło wyglądały następująco:

Tak. To nie jest błąd. Konto zawierające 100 BTC zabezpieczył hasłem identycznym jak login – pomijając wielkość liter. A skąd złodziej znał login? Użytkownik swobodnie korzystał z niego – choć nie musiał – na czacie serwisu. W tym wypadku trzeba uczciwie nazwać stracona kwotę 100 BTC podatkiem od głupoty.