Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Una serie de robos afectan al servicio de billetera de mayor reputación de Bitcoin

En cuestión de horas, el 15 de diciembre, Jeff perdió casi 10.000 dólares.

Había 10,6 bitcoins retenidos en el servicio de billetera Coinbase, el servicio mejor financiado y ampliamente implementado en el mercado. Jeff, quien nos pidió que no usáramos su apellido, recibió la noticia de la transacción tan pronto como sucedió, y después de ir y venir con un representante de servicio al cliente, le devolvieron su dinero. Exactamente un mes después, volvió a suceder.

Coinbase le dijo que estaba roto

Esta vez, la noticia llegó mientras se encontraba en el hospital por el nacimiento de su hija. Se apresuró a cerrar sesión en su cuenta actual, solo para ver que se acababa de liquidar una nueva compra de $ 7,000 en bitcoins. Rápidamente movió el nuevo dinero de Coinbase, presentándolo una billetera segura fuera de línea donde los hackers no pudieran alcanzarlo. Había salvado los $ 7,000 de ser robados, pero los 10.6 bitcoins originales ya no están. Coinbase le dijo que fue pirateado y que no calificaba para un segundo reembolso.

Es parte de una serie de robos de Bitcoin que han afectado al servicio en las últimas semanas. el borde confirmaron otros dos usuarios de Coinbase con historias similares a la de Jeff, una por $16,000 y otra por $5,000. En el primer caso, la víctima usó autenticación de dos factores y recibió un reembolso; en el segundo, no se activaron dos factores y se rechazó el reembolso porque el usuario no configuró correctamente las medidas de seguridad de la cuenta. Más otro sin verificar todavía informes también fueron publicados en Subreddit de Coinbase.

The Verge confirmó a otros dos usuarios de Coinbase con historias similares

CONTENIDO RELACIONADO  Google se burla del próximo lanzamiento del navegador Chrome compatible con Metro

Investigadores de empresa de seguridad FireEye Decimos que la escala relativamente pequeña de las infracciones hace que Coinbase sea poco probable que sea una vulnerabilidad de servicio completo. En cambio, los investigadores sugirieron que Jeff y otros se vieron comprometidos individualmente, pero que la clave API inusualmente fuerte de Coinbase los hizo más vulnerables después del ataque. Utilizada para permitir que las aplicaciones de terceros accedan a las cuentas de Coinbase, la clave API correcta permitirá que cualquier programa mueva bitcoins dentro y fuera de una cuenta específica. Una vez que la clave se ve comprometida, los atacantes pueden incluso acceder a cuentas bancarias conectadas para comprar más bitcoins. Se aconseja a los usuarios que no autoricen la clave API si no la necesitan, pero si una cuenta se ha visto comprometida, los piratas informáticos pueden decidir autorizarla ellos mismos, como sospecha Jeff.

El pequeño tamaño de las infracciones hace que sea poco probable que todo el servicio sea vulnerable

Cuando se le pidió comentarios, el CEO de Coinbase, Brian Armstrong, confirmó que algunos usuarios habían sido atacados, pero enfatizó la naturaleza individual de las infracciones y dijo: «El phishing es algo que está sucediendo. Ocurre en todos los sitios principales de Internet». Armstrong también señaló el uso de autenticación de dos factores por parte de Coinbase, una característica que aún falta en muchos sitios bancarios importantes. Los investigadores de FireEye están de acuerdo: ninguno de estos ataques parece tener como objetivo la propia infraestructura de Coinbase. Cada indicación sugiere que son tenencias individuales dirigidas a cuentas individuales, y el acuerdo de usuario de Coinbase establece claramente que los usuarios son «responsables de mantener la seguridad y el control adecuados sobre cualquier identificación, contraseña, número de identificación personal o cualquier otro código que utilicen para acceder». Servicios de Coinbase.” Por una u otra razón, Jeff y los demás clientes no lo hicieron. Sin embargo, en el contexto de pérdidas financieras reales, es fácil entender por qué se sienten traicionados.

CONTENIDO RELACIONADO  De alguna manera, esta mezcla de Miley Cyrus y el podcast de Serial funciona

Cualquier programa con la clave API adecuada puede realizar sus propias transacciones

En el caso de Jeff, es casi seguro que la clave de la API fue la culpable. Dice que restableció la clave y la desactivó después del primer ataque, solo para descubrir que los piratas informáticos la reactivaron la próxima vez que inició sesión. El día después del segundo hackeo de Jeff, Coinbase autenticación de dos factores habilitada por correo electrónico para cualquier persona que intente activar la clave API, un cambio que podría haber evitado la pérdida de Jeff, pero para entonces ya era demasiado tarde. Incluso ahora, cualquier programa con la clave correcta puede realizar sus propias transacciones sin autenticación adicional.

Los ataques llegan en un momento crítico para Coinbase, una empresa respaldada por Andreessen Horowitz, que se ha convertido en los últimos meses en el corredor más grande y de mayor reputación en el mercado de Bitcoin. En enero, la empresa se asoció con Overstock.com para administrar las transacciones de Bitcoin para el sitio, la implementación minorista más grande que jamás haya visto la moneda. Sitios más pequeños como BloomNation, Malwarebytes y la herramienta de seguimiento de pagos Mint se unieron a Coinbase poco después. Al mismo tiempo, la compañía a menudo ha sido objeto de estafas de phishing, especialmente después de que se descubrieran registros públicos de transacciones de usuarios en abril pasado. En respuesta a el bordesu informe, Coinbase publicó una entrada de blog Esta mañana, que advierte específicamente contra las estafas de phishing, instruye a los usuarios a «evitar hacer clic en URL sospechosas o desconocidas».

CONTENIDO RELACIONADO  La "galería de privacidad" de BlackBerry tiene demasiados privilegios

«Era demasiado fácil para alguien con la clave retirar todos los fondos de la cuenta».

Gran parte de la culpa recae en las propiedades estructurales básicas de Bitcoin, que hacen que sea imposible revertir transacciones y hacer que el dinero sea fácil de lavar una vez que ha sido robado. Si los mismos piratas intentaran transferir fondos desde una cuenta bancaria tradicional, el propietario de la cuenta podría tener una ventana pequeña pero crucial para detener el pago, y las medidas antifraude podrían detener la transacción antes de que se lleve a cabo. Debido a la naturaleza abierta y seudónima de la red, estas protecciones son extremadamente difíciles de implementar en el mercado de Bitcoin.

A su vez, Jeff culpa a la clave API ya las promesas de «seguridad de nivel bancario» hechas en el sitio web de la empresa, una promesa que Armstrong dice que cumple. «Era demasiado fácil para alguien con la clave retirar todos los fondos de la cuenta», dice Jeff sobre la clave API. Quiere que la opción de activación sea menos accesible, más oculta. «Ojalá nunca hubiera estado allí». Es particularmente molesto para él, porque la clave es una función de desarrollador, que la mayoría de los consumidores no usan. Para Jeff, ese bit adicional de acceso de terceros tuvo un alto precio. Como él mismo dijo, «Solo soy un tipo que quiere comprar algo de Overstock».

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

Hitachi se declarará culpable del precio de LCD

Hitachi ha aceptado declararse culpable de conspiración para fijar precios para la venta de paneles LCD. La compañía de electrónica de Japón acordó pagar una multa de $ 31 millones (£ 22 millones) como parte

Gartner mejora su previsión de PC para 2003

Fuertes ventas de PC en el tercer trimestre determinado por Gartner Inc. para aumentar sus proyecciones para la entrega de PC en el cuarto trimestre en 47,2 millones de unidades en todo el mundo, dijo

Buena diversión a la antigua Macworld

Bueno, es hora de dejarla y seguir adelante, ¿no? (¿Todos los demás están tan hartos de esa canción como yo?) Para MacFolk, cuyas últimas dos vacaciones de Año Nuevo fueron eliminadas por la sobria realidad

Se aprobó la ley de espionaje en Nueva Zelanda

Las nuevas leyes de espionaje que legalizaron la interceptación de comunicaciones internas fueron aprobadas ayer en Nueva Zelanda con una votación de 61 a 59 en el Parlamento. El gobierno ha argumentado que se necesitan

Lucha contra el fraude: el llamado es global

La presión global está sobre los estafadores de Internet después de la campaña «Lucha contra el fraude» de silicon.com. Tras las solicitudes de silicon.com de una respuesta independiente al fraude que socava la confianza del

Disminuye la confianza en el trabajo en S’pore

SINGAPUR – Los buscadores de empleo en Singapur parecen ser más pesimistas acerca de conseguir un trabajo en estos días, según un estudio realizado por Jobstreet.com Pte Ltd. La empresa de contratación en línea citó

Día de Microsoft «No hables como un pirata».

No estoy seguro de como me lo perdí esta hasta aquí: Microsoft planea anunciar el «Día global contra la piratería» el martes, en un esfuerzo por llamar la atención sobre los pasos que está tomando

Google quiere ayudarte a registrarte para votar

La cobertura integral de las elecciones de Google de 2012 ahora incluirá una herramienta para ayudar a los ciudadanos a registrarse para votar, la compañía revelado esta mañana en un anuncio sobre nuevos recursos para

Necesita actualizar su código de competencia de medios

SINGAPUR – A medida que los sectores de medios y telecomunicaciones convergen para proporcionar nuevos servicios multimedia, el estado insular ha propuesto enmiendas a su Código de Conducta en el Mercado de Medios para mantenerse

Revisión de Kindle 2 «Yo también»

El Kindle 2 de Amazon es elegante, elegante y tiene un aspecto claro y de ojos claros.tinta electronica«Pero una cosa: leer libros. Después de todo cosas relativamente hostiles Hablé sobre el lector de libros electrónicos

BT da buen webizenship Krypton Solid

silicon.com inventa descaradamente el neologismo… BT ha honrado a varias organizaciones del Reino Unido por utilizar la tecnología en beneficio de la comunidad. Los premios eWell-Being patrocinados por BT se dividen en cuatro categorías principales:

Mubarak «cae» en coma Krypton Solid

Aquí hay una actualización rápida sobre lo que siempre es la situación extraña en Egipto. El líder egipcio Hosni Mubarak parece haber «caído en coma» unos días después de pronunciar su discurso de renuncia, como

Firefox 3 RC1 ya disponible para pruebas

El equipo de desarrollo de Mozilla ha anunciado discretamente el lanzamiento del Candidato 1 para el lanzamiento de Firefox 3 este fin de semana. El anuncio se publicó el 18 de mayo e indica que

¿Salesforce ofrece Oracle por $ 75 por acción?

Cuando Tom Foremski dice que tiene una «fuente confiable» puede estar seguro de que está actualizado: Escuché de una fuente confiable que Salesforce.com se acercó a Oracle para ver si había algún interés en una

Software empresarial: «¿Nuestros clientes nos aman?»

Una conversación reciente con un analista rayo wang, que apareció en CxOHablar (ver video incrustado a continuación), está claro que muchas empresas están experimentando un cambio significativo en su modelo de negocios. Este cambio marca

La primera luz reflejada de un exoplaneta

Los astrónomos europeos han podido por primera vez detectar y monitorear la luz visible que se dispersa en la atmósfera de un exoplaneta, HD 189733b, que también se conoce como «Júpiter caliente» y orbita una

¿WebEx Connect causó AppExchange de SFdC?

Los resultados financieros del proveedor de colaboración bajo demanda WebEx recibieron ayer una cálida bienvenida en Wall St, que subastó el precio de las acciones en un 21% durante el día. La reacción probablemente se

La web ayuda a las empresas a llegar a los medios

Cuando Dell Computer Corp. se estaba preparando para anunciar un nuevo conjunto de productos y servicios para empresas esta semana, podría haber alquilado un elegante hotel en Nueva York o reunido a periodistas en su

Windows 8: ¿Listo en 2012?

Pero el próximo sistema operativo de escritorio de Microsoft nacerá en un mundo diferente al de Windows 7 … La mayoría de las organizaciones solo ahora están lidiando con sus implementaciones de Windows 7, pero

Las 10 ciudades más conectadas del mundo

Ser una ciudad conectada no solo significa mayores velocidades de Internet, sino que también puede beneficiarse de la innovación y el turismo y apoyar la economía local y las aspiraciones cívicas. Pero algunas ciudades ponen

Elysium Review: Class Warfare se dirige al espacio

Damon interpreta a Max como simpático y serio, aunque es pequeño. además hermoso aquí; es difícil comprarlo como un asesino o incluso como un verdadero tonto. (Alguien también se pregunta por qué un tipo que

Deja un comentario