Сегодня на Steem (форком которого является медиаблокчейн Голос) в тренде новость о взломе аккаунтов.
Знающим английский рекомендую почитать оригинал, я же изложу кратенько суть.
Недавно было угнано несколько аккаунтов на steemit.com, а так как golos.io является практически точной его калькой, та же уязвимость к сожалению есть и у нас. Сразу скажу:
- Это НЕ уязвимость блокчейна - он в безопасности
- Это даже НЕ уязвимость сайта как такового, с технической стороны
- Она мало кого коснётся и НЕ опасна если вы знаете о ней, так что знайте
Уязвимость скорее социально-психологическая, отчасти связанная с дизайном интерфейса доступа к блокчейну. Если вы пробовали переводить деньги, то знаете, что там есть графа memo ("заметка"). В неё можно вписать любое послание, и часто заметка используется для идентификаторов позволяющих роботам опознавать платеж. Например в обменнике changelly нас просят занести в эту графу код операции, чтобы прошел наш обмен.
Некоторые пользователи, по невнимательности или ошибке вставляют туда свои ключи - пароли от доступа к их аккаунтам в медиаблокчейне. Надо понимать, что соедрижимое поля "заметка" ВИДНО ВСЕМ. Хакеру не трудно сделать скрипт который будет искать нужные ключи и угонять аккаунты. Поэтому два совета:
- Когда делаете переводы золотых или голоса очень внимательно смотритпе что и куда вы вбиваете
- Если вы случайно послали перевод со своим паролем в графе "заметка" - немедленно смените пароль
Если у вас много подписчиков не слишком опытных в сетевой безопасности, сделайте пожалуйста репост этой записи. Возможно кому то это спасёт нервы и деньги!
Ну и о хорошем. Хакеры которые провели взлом, не украли аккаунты, а вернули их пользователям написав вышеприведённую статью, чтобы никто больше не попался. Ну нее красавчики а?
Берегите себя и свои пароли!
Ну сложно назвать это уязвимостью, а тем более приписывать её системе. Но интересно было узнать, что комментарии к платежам в Голосе находятся в открытом доступе. Спасибо за пост.
Согласен. Но тут с терминами сложно...
Наздоровье! )
в стародавние времена, когда была такая локальная сеть и в ней бродило куча файлов, людям надо было расшарить 20 Гб своих файлов чтобы иметь возможность качать расшаренное других пользователей.
Так вот, решил я как-то поискать там папку Windows и очень удивился количеству найденных результатов. А потом поискал папку Desktop и ещё сильнее удивился. А вы-же знаете, куда складывать все документы, в том числе и важные? Правильно, прямо на рабочий стол!
У одного юзера нахожу "график отпусков" одной очень большой компании ну и давай его редактировать! )))
Правда, сделал сначала копию и положил в отдельную папочку на рабочем столе, а в конце графика красным текстом написал про то, где найти оригинал )))
Кулхацкер! =) Верните нам наш 2008-ой =))
Найс )
спасибо за пост! буду внимательна, хотя пока еще не чего выводить)
Это дело наживное
Я вот вообще поражаюсь как они соц.сети взламывают без проблем, значит и тут для них нет преград
Вообще то говоря, тут понадёжнее. Но не суть - можно отдельные аккаунты угнать, просто из-за неграмотности юзверей
В основном аккаунты соц. сетей взламывают через фейки. Фейк (англ. fake - подложный, фальшивый) - это страница выглядящяя точно так же, как главная страница сайта, на которой пользователь вводит данные для входа в аккаунт. А на фейки эти, пользователи переходят через ссылки в личных сообщениях, либо через ссылки на внешних сайтах. Т.е. по сути хакеры не взламывают такие аккаунты, а пользователи самостоятельно, добровольно сообщают свои данные для входа. Ещё могут взломать с помощью брута. Брут (полный перебор или метод «грубой силы», англ. brute force) - полный перебор символов пароля, либо перебор по словарю (test, password, qwerty и т.д.). Т.е. безопасность вашего аккаунта в основном и целом зависит только от вас. От брута на Голосе защита по умолчанию, такие пароли не подобрать и за сотню лет, а вот от Социальной Инженерии пользователя может уберечь только осознанность его действий и ликбез по безопасности при работе в интернете.
Также можно сделать приложение для смартов , потвержающие авторизацию в течении 30 секунд после запроса . Мне кажется это очень удобно , удобней даже через смс . По типу когда заходищ в мобильное приложения от банка
Тогда этот взлом вовсе и не взлом. Хакерством наверное называть это неправильно.
Мне кажется в данном вопросе терминология не принципиальна. Уязвимость опасна для людей ничего в этом не понимающих, так что скажем - взлом и хакер, им будет яснее.
Давно уже пора добавить сюда двухфакторную аутентификацию.
Нет. Нафиг. Кто ограничивает свою свободу ради безопасности, не заслуживает ни того ни другого.
@master-set, Поздравляю!
Ваш пост был упомянут в моем хит-параде в следующих категориях:
@master-set Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопГолосуя за это уведомление, вы помогаете всем пользователям Голоса. Узнайте, как здесь.
Спасибо 😊
@master-set Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопГолосуя за это уведомление, вы помогаете всем пользователям Голоса. Узнайте, как здесь.
@master-set Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопГолосуя за это уведомление, вы помогаете всем пользователям Голоса. Узнайте, как здесь.
Ой, ну прям хакеры, взломали зная логин и пароль-))
Это я для общей наглядности. Так то да, обычная ошибка юзеров...
Очень большая просьба, объясните на человеческом языке, что такое "форком"?
Форк (от. англ. Fork - вилка) - зазветвление программного продукта на несколько версий, каждая из которых затем живёт своей жизнью. Чтобы внести изменения в блокчейн необходимо изменить его программу, что создаёт ответвление блокчейна - вилку. Разветвление может быть осуществлено как "хардфорк" - без обратной совместимости с базовой версией или "софтфорк" с которым сможет работать клиент предыдущей версии.
Как-то так. Добавлю в криптословарик. )
Благодарю за разъяснение.
Наздоровье
Да оптимизирут как нибудь
@master-set, надеюсь, нас обойдет.
Это не взлом да. К сожалению, для Стим и Голос характерен принцип "брось его в реку, и он либо научиться плавать, либо утонет"
На всех нормальных платных сайтах ввод-вывод очень подробно разжеван самой администрацией сайта. Но только не на Стиме и не на Голосе. Здесь спасение утопающих - дело рук самих утопающих. Да, конечно тут написаны десятки инструкций по вводу выводу самими пользователями. И еще столько же напишут, ведь их лайкают. Но это не тоже самое, что официальная инструкция.
Такие ошибки с перепутанными паролями вместо memo я вижу тут регулярно. Обычно при выводе с битрекса сюда - вводят свой пароль как memo
Согласен. Документация у нас ни к чёрту. Видимо ресурсов на всё не хватает (
Самый страшный хакер - это сама жертва/юзер, а дальше через Соц Инженерию с него можно забрать всё!!!!!
Воистину так
Меня сегодня прям понесло на проповеди!!)))
@master-set Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопГолосуя за это уведомление, вы помогаете всем пользователям Голоса. Узнайте, как здесь.
привет, @master-set. какая полезная инфа, однако. подписалась я на тебя, однако ))
Давно пора! )
никогда не поздно )) @master-set
Недавно такой поступок сделали и на голосе, благо в чате Вика заметили и заморозили в сейфе голоса
Было дело.
@ropox заметил приватный ключ в мемо, деньги он перекинул в сейф пользователю, а я пересоздал ключи, после чего мы нашли хозяина аккаунта в телеграм и вернули ему аккаунт в целости и сохранности.
Как в анекдоте, "не выиграл, а проиграл". Это @vadbars заметил, я в сейф перевел, а @vik ключ поменял.))
да ладно, ЛосьЛосось... но все теперь нормально? привет! @losos
Открытость даёт свои преимущества!
Спасибо за пост! Многим может помочь.
Прямо не хакеры, а Тимуровцы какие то.
Ну, во первых не все люди жадные и злые. А во-вторых мне кажется так влияет суть самой системы - они подняли куда больше бабла на лайках и росте популярности своего аккаунта, чем могли бы состричь с того что лежало в кошельках нескольких неопытных юзеров.
имеется ввиду, что система на столько благотворно влияет на хакеров, что они и сами стали "зайчиками-лапочками" ? ....шучу. Я тоже верю в то, что добро побеждает зло.
Есть такая херня, чуть не отправил перевод с паролем в комментах, че-то был в запаре и полусне.
И у меня такое было пару раз, @litrbooh!.. ; - )
Статья важная и интересная!