Przyczyn włamania do serwisu związanego z rynkiem BTC może być wiele. Jeśli jednak tego samego dnia ofiarą identycznego włamania pada drugi serwis, korzystający z usług tej samej firmy hostingowej, trudno nie podejrzewać, kto mógł zawinić.
Historia zaczęła się 23go kwietnia, kiedy to w wątku poświęconym najstarszej (i trzeciej co do wielkości) kopalni BTC, Slush’s Pool, jej założyciel, Slush, ogłosił, że serwis padł ofiarą włamania. Nie był to pierwszy przypadek, kiedy jego kopalnia została okradziona. W marcu 2012 opisywaliśmy, jak włamywacze pokonali zabezpieczenia firmy hostingowej Linode, by okraść jej klientów ze sporej ilości bitcoinów. Slush był wtedy jedną z ofiar ataku. Po incydencie przeniósł swoją kopalnię do innego dostawcy – OVH. Niestety to nie pomogło. Jak doszło do włamania?
Tajemniczy reset hasła
Według relacji Slusha ok. godziny 15 zauważył, że ktoś zresetował hasło dostępu do panelu zarządzania usługami OVH, umożliwiającego między innymi uruchamianie serwerów w trybie awaryjnym. Slush natychmiast zmienił hasło do panelu oraz do swojej skrzynki pocztowej (która tak czy inaczej za względu na jej rolę w zapewnieniu bezpieczeństwa serwisu wymagała haseł jednorazowych). Jako że nie zauważył żadnej podejrzanej aktywności na serwerach, poprzestał na poproszeniu działu wsparcia OVH o ograniczenie dostępu do panelu zarządzania usługą do jego adresów IP. Około godziny 23 otrzymał ponownie email z informacją, że ktoś zresetował hasło dostępu do panelu. Sam reset wymaga kliknięcia w link podany w emailu – a Slush przysięga, że nikt nie miał dostępu do jego skrzynki pocztowej. Tym razem atakujący byli dużo szybsi – uruchomili maszynę z portfelem BTC w trybie awaryjnym, odcinając Slusha od dostępu do części środków. Slush nie podał, ile BTC stracił w ataku, poinformował jedynie, że straty pokryje z własnej kieszeni. Atakujący uzyskali także dostęp do bazy danych serwisu, zatem przyjąć należy, że znają adresy email oraz hashe haseł wszystkich użytkowników.
Dwa przypadki to nie przypadek
Biorąc pod uwagę brak potwierdzenia problemu po stronie OVH, można by przyjąć, że Slush musiał gdzieś popełnić błąd i jednak komuś udało się uzyskać dostęp do jego skrzynki pocztowej. Wygląda jednak na to, że problem może leżeć gdzie indziej, ponieważ dzień później innych serwis związany z rynkiem BTC, Bitcoin-Central.net ogłosił, że padł ofiarą identycznego włamania – również w OVH. Również w tym wypadku hasło do panelu zarządzania usługą zostało w magiczny sposób zresetowane, a gorący portfel BTC z serwera opróżniony. Bitcoin-Central straciło kilkaset BTC i zawiesiło działalność do czasu opracowania innej architektury bezpieczeństwa (wszystkie środki zwraca użytkownikom).
Co mogło się wydarzyć?
Czas na małe rozważania o możliwych przyczynach ataku. Według informacji od Slusha, w trakcie drugiej udanej nieautoryzowanej zmiany hasła, jego skrzynka emailowa miała świeżo zmienione hasło, nie miała ustawionych żadnych przekierowań, a na serwerze pocztowym widoczna była tylko jedna sesja – jego. OVH twierdzi, że nie ma nic do sprawdzenia, udostępniło jedynie logi dostępu do panelu zarządzania, wskazujące na dużą ilość serwerów proxy z całego świata użytych przez atakujących. Jako że reset hasła dostępowego wymaga otwarcia linka, wysyłanego emailem, możliwe są następujące scenariusze:
- włamywacze mieli dostęp do treści emaili wychodzących z OVH
- włamywacze mieli dostęp do skrzynki pocztowej Slusha
- włamywacze mieli dostęp do komputera Slusha
- włamywacze poznali możliwość resetu hasła bez znajomości linka z emaila
Biorąc pod uwagę fakt, że Slush nie był jedyną ofiarą, wydaje się, że bardziej prawdopodobne wydają się scenariusze 1 i 4, bardzo niekorzystne dla OVH. Obawiamy się jednak, że nigdy nie poznamy prawdy. Jeśli to wina Slusha, to skoro do tej pory nie odkrył przyczyny, pewnie już jej nie odkryje. Jeśli to wina OVH, to firma ta nie ma żadnego interesu w upublicznianiu tego faktu. My tymczasem dopisujemy kolejny incydent do bardzo długiej listy włamań.
Komentarze
Zostalem okradziony z duzej ilosci BTC przez restart hasla do kantoru mtgox i tez nikt nie mial dostepu do mojej skrzynki by kliknac w link potwierdzajacy. 8 minut po przyjsciu takiego maila (widzielem go jako nieodczytany a nie bylo innych polaczen np po smtp/pop) zmienilem haslo do gmaila i bylem pewny ze gdyby cos sie dalej dzialo to bym otrzymal kolejny email ale niestety dalem d.. i nie sprawdzilem co z mtgox a tam ktos zmienil email (nie przychodzi potwierdzenie na stary email) i haslo oraz przelano spore srodki.
dodam ze gmail byl we wlasnej domenie a DNS stal na moim dedyku w… OVH
Być może masz wirusa.