04.04.2013 | 10:17

Adam Haertle

Kolejny duży serwis związany z rynkiem bitcoinów zhakowany

Kolejne rekordy wartości bite przez bitcoiny bez wątpienia wpływają na intensywność niezamówionych testów penetracyjnych, którym poddawane są serwisy związane z tą walutą. Ich najnowszą ofiarą padł Instawallet.org, przechowujący portfele online.

W ciągu naszej krótkiej działalności zdążyliśmy już opisać trzy kolejne udane ataki na giełdę BTC Bitcoinica (atak na firmę hostingową, firmowy serwer pocztowy oraz wyciek hasła do jednego z portfeli) oraz atak na serwis pośredniczący w płatnościach BTC, Bitinstant (a to tylko niektóre z długiej listy incydentów). Z uwagi na całkowicie anonimowy charakter bitcoinów stanowią one wymarzony cel włamywacza. Można je przetransferować natychmiast, raz wykonanego transferu nie można w żaden sposób cofnąć a posiadacz adresu odbierającego środki może łatwo ukryć swoją tożsamość. Wraz z niedawną kosmiczną hossą na rynku BTC bez wątpienia wzrosło zainteresowanie włamywaczy serwisami, przechowującymi bitcoiny. Ofiarą tego zainteresowania stał się serwis oferujący możliwość anonimowego tworzenia portfela BTC online, Instawallet.org.

Zaletą serwisu była jego prostota – wystarczyło otworzyć stronę Instawallet.org, by wygenerować nowy, unikatowy portfel. Adres otrzymanego urla wyglądał np. tak:

https://instawallet.org/w/7L3CWWRL2KnVhhLjlLPfm7bb0ML1hml7sg

Adres ten był jednocześnie kluczem do portfela. Brak było jakiejkolwiek autoryzacji użytkownika – jeśli ktoś zgubił link, gubił również portfel i znajdujące się w nim środki. 26 marca jeden z użytkowników serwisu odkrył, że Google zindeksowało kilka tysięcy portfeli! Zgłosił odkryty błąd firmie zarządzającej witryną i pomógł im usunąć wyniki z indeksu Google (niektóre pozostały widoczne np. w Bingu). Firma nie podziękowała mu za pomoc, więc wyżalił się na forum Bitcointalk. Do tej pory nie jest jasne, jak Google zindeksowało adresy portfeli – być może ich użytkownicy byli na tyle nieostrożni, że sami umieścili linki do nich w sieci.

Przykładowy portfel w serwisie

Przykładowy portfel w serwisie

Kiedy wydawało się, że sytuacja jest już opanowana, 1 kwietnia serwis zawiesił tymczasowo działalność, informując, że doszło do incydentu bezpieczeństwa. Po 3 dniach komunikat został zastąpiony nowym, informującym, że działalność została wstrzymana bezterminowo.

Zawieszona strona Instawallet

Zawieszona strona Instawallet

Niestety komunikat o przyczynach zamknięcia serwisu jest dość enigmatyczny – mówi o nieautoryzowanym dostępie do bazy danych, nie wspominając o tym, czy doszło do kradzieży środków użytkowników. W serwisie istniały ponad 3 miliony portfeli, zatem można się spodziewać, że ilość BTC nie była mała. Prawdopodobnie większość portfeli była wykorzystywana do bardzo drobnych transakcji zgodnie z rekomendacjami samego serwisu (trudno nam uwierzyć, by ktoś przechowywał grubsze kwoty w portfelu chronionym jedynie wiedzą na temat adresu www), jednak ich ilość mogła się przełożyć na globalny wymiar strat.

Bez wątpienia problem ze zwrotem środków serwisu jest anonimowość portfeli. Operator serwisu proponuje wypłaty posiadaczom kont, po które nie zgłosi się nikt inny, a w przypadku kilku zgłoszeń rozpatrywanie na podstawie innych kryteriów. O braku szczęścia mogą też mówić posiadacze sald powyżej 50 BTC, których żądania zwrotu środków będą rozpatrywane indywidualnie.

Incydent ten zbiegł się w czasie nie tylko z rekordowymi wzrostami wartości BTC, ale także z atakami DDoS na Mt.Gox, największą giełdę, umożliwiająca wymianę BTC na inne waluty. Bez wątpienia rynek usług związanych z BTC będzie jednym z ciekawych tematów do obserwowania w najbliższych tygodniach.

Powrót

Komentarze

  • 2013.04.05 23:47 K6T

    Ciężko mi uwierzyć w to, że jedynym zabezpieczeniem był URL… śmiać się czy płakać? A kasa z 3 mln zamkniętych kont musi być naprawdę niezła :)

    Odpowiedz

Zostaw odpowiedź do Polska giełda BTC/LTC obrabowana do zera przez włamywaczy | Zaufana Trzecia Strona

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kolejny duży serwis związany z rynkiem bitcoinów zhakowany

Komentarze