W związku z ogromnym wzrostem wartości bitcoinów w ostatnich tygodniach serwisy związane z tym rynkiem są coraz intensywniej atakowane przez żądnych szybkich zysków włamywaczy. Kolejną ofiarą tej sytuacji stało się forum Bitcointalk.org.
Kilkanaście godzin temu doszło do sprytnego ataku na najpopularniejsze forum użytkowników BTC, Bitcointalk.org. Atakujący, wykorzystując błąd w systemach rejestratora domeny, przekierował domenę za pośrednictwem Cloudflare na swój własny serwer. Teoretycznie mogło to umożliwić atakującemu dostęp do wszystkich treści, przesyłanych przez użytkowników korzystających z serwisu przez kilka godzin.
Komunikat administratora
Atakujący prawdopodobnie liczył na to, że uda mu się przejąć dane logowania użytkowników (a najlepiej administratora forum i uzyskać dostęp do bazy danych serwisu), a następnie wykorzystać te dane do zdobycia haseł użytkowników do ich skrzynek pocztowych, a w konsekwencji do kont na giełdach i w serwisach oferujących portfele online. Co prawda cały ruch forum jest szyfrowany za pomocą protokołu SSL, niestety jednak do tej pory nie wiadomo, czy atakującemu udało się uzyskać i podstawić swój własny certyfikat SSL (mając kontrolę nad domeną mógł o taki certyfikat wystąpić i go otrzymać).
Na wszelki wypadek wszystkie osoby, które logowały się do forum podając swój login i hasło między godziną 5 rano w niedzielę 1 grudnia a godziną 19 w poniedziałek (dzisiaj), proszone są o zmianę hasła. Takie ramy czasowe wynikają ze sposobu działania systemu DNS. Atak rozpoczął się w niedzielę rano, a gdy został po kilku godzinach odkryty i prawidłowe wpisy zostały przywrócone, dane na serwerach DNS nie zmieniły się od razu i kolejne maksymalnie 24h miną, zanim wszystkie serwery będą znowu wskazywały na właściwy adres forum (109.201.133.195).
Osoby, które logowały się dzięki zapamiętanym ustawieniom przeglądarki (a w zasadzie ciasteczkom) nie muszą się martwić – administrator zresetował ich sesje. Jeśli ktoś chce mieć pewność, że łączy się z prawidłowym adresem, może wpisać sobie na stałe do pliku hosts linijkę:
109.201.133.195 bitcointalk.org
(warto tylko o niej pamiętać, gdy któregoś dnia serwer przestanie odpowiadać ze względu na zmianę adresu).
Można także sprawdzić podpis certyfikatu SSL (tzw. odcisk palca, widoczny po kliknięciu w „kłódkę”), prawidłowy to:
29:0E:CC:82:2B:3C:CE:0A:73:94:35:A0:26:15:EC:D3:EB:1F:46:6B
Bitcointalk.org zmienił już rejestratora domeny z nadzieją, że kolejny będzie oferował wyższy poziom bezpieczeństwa. Trzeba także zauważyć, że to nie pierwszy problem tego serwisu – był on już ofiarą co najmniej dwóch włamań.
Komentarz
Tak ukradli tak właśnie 3 BTC jednemu z forum bitcoin.pl bo miał takie samo hasło do Mtgoxa jak tam do forum na bitcointalk no i nie uzywal OTP…