BTC.com手机客户端

步步惊心!Coinbase帐户是如何被黑的?

戴维 发布在 比特币 34 4287

2014年10月21日 早,Partap Davis 发现自己3000美金被盗。前一天晚上,他大概12点睡觉,一晚上,黑客将他设置的所有安全防护全部攻破。黑客仅仅在他睡着时就将 Davis 大部分线上生活破坏掉了:两个 email 账户,手机,Twitter, 二因素身份验证,以及最重要的东西——比特币钱包。

Davis 非常谨慎,他的密码都是强口令,从不点击虚假链接。对于 Gmial 邮箱等服务,他使用二因素身份验证保证邮箱安全,所以当他从其他电脑登录邮箱时,必须输入手机短信验证中的6位数字密码。他利用比特币赚了一些钱,并将这些比特币放入了三个受保护钱包中,三个钱包分别是:Coinbase, Bitstamp 和 BTC-E。Davis也对 Coinbase 和 BTC-E 使用二因素身份验证保证账户安全。只要他想登录这些账户,他就必须使用二因素身份验证APP进行身份验证。

除了比特币这部分内容,Davis在其他方面和普通用户并没有什么区别。Davis是个程序员,他将自己的时间用在编写视频教学软件和其他的一些琐碎工作上。他喜欢在周末去Los Alamos的斜坡上滑雪。这是他在Albuquerque的第十年,去年,他刚刚到了40岁。

在黑客攻击之后,Davis将整周用在了追踪攻击是如何发生的,把从登录账户和客户服务得到的信息进行拼接,得到了The verge。但是,我们仍然不知道这一切是如何实现的,也不知道黑客是谁。但是通过拼接信息,我们知道了这一切是如何实现的,也知道了我们数字生活中的一些弱点。

比特币黑客

MAIL.COM

这一切是从Davis的邮箱开始的。当他第一次登录邮箱时,他发现Partpa@gmail.com已经被注册了,所以他选择使用Mail.com代替,设置了Partpa@mail.com,这个更容易记忆。

10月21日凌晨2点之后,这个链接被破坏。有人闯进了Davis的mail.com账户,并停止继续攻击。突然,一个新的手机号码链接了这个账户——一个在Florida注册的安卓设备,同时还有一个新的备用email——swagger@mailinator.com,这是我们所知道的最能体现黑客个人信息的内容了。

我们将这种简单的攻击暂且称为Eve。

Eve是如何做到的?我们还不确定。但是貌似是它使用了脚本锁定Mail.com密码重置页面的弱点。我们知道,这种脚本是确实存在的。几个月以来, 一直有用户在黑客论坛上出售这种可以重置Mail.com特定用户密码的脚本。攻击Davis账户的脚本病毒是很老的版本,价格为每个账户5美金。我们还不是很清楚它是如何工作的,也不知道它是否还在使用,但是它确实是Eve所需要的。没有任何身份验证,它就可以将Davis的密码设置为自己的字符串口令。

AT&T

Eve接下来的步骤是掌握Partap的电话号码。它没有Davis的AT&T密码,但是它可以假装忘记密码,然后利用partap@mail.com收到的邮件中链接重置密码。Eve要求客户服务代表将Davis的号码呼叫转移到Long Beach的号码。严格来讲,客户服务部门应该加强呼叫转移的安全性,使用更多的验证信息,而不是只有一封邮件。但是面对这种很烦生气的顾客,客服经常让步,顾客满意度总比安全性重要。

一旦呼叫转移完成后,Davis所有的语音电话都可以转接到Eve手中。Davies仍然可以收到短信和email,但是每个电话直接到了攻击者那里。Davis直到两天后才有所察觉,因为他老板抱怨说他没有接电话。

GOOGLE AND AUTHY

接下来,Eve瞄准了Davis的谷歌帐号。专家讲告诉你二因素身份验证是最好的防黑客攻击的的保护措施。一个黑客可能得到你的密码,一个小偷可能会偷走你的手机,但是很难做到二者兼顾。手机是个拥有独立系统的物理硬件,但是人们一直想要取代手机,并且希望把所有的服务都取代掉。账户必须每天重置,而两因素服务最后看起来更像是还有一个账户需要攻击。

Davis并没有设置谷歌身份验证APP的安全选项,但是他已经有了两因素身份验证。每次他用新的电脑登录时,谷歌都给他发送确认码以确认身份。呼叫转移没有办法获得Davis的短信,但是Eve有后门:多亏了谷歌强大的功能,它可以申请通过呼叫转移接受语音确认码。

Authy应该是很难攻击的。它是一个类似于Authenticator(身份认证)的APP,并且从未离开过Davis的手机。但是Eve通过mail.com和通过语音接收的新的确认码,很容易的就在自己的手机上重置了Authy。刚过凌晨三点,Authy账户就被Eve掌控了。

Eve用同样的伎俩欺骗了谷歌:只要他有了Davis的email和手机,两因素验证就无法使用。在这点上,Eve比Davis更容易控制他的线上生活。Eve已经掌握了Davis除短信外所有的数字生活。

CoinBase

3点19分,Eve重置了Davis的Coinbase账户,使用的就是Authy和Mail.com。3点55分,Eve转走了Davis账户中的全部余额(约3600美金)。他分别在30分钟、20分钟和5分钟后分三批将这笔钱转走。之后,这笔钱就在空巢账户中消失了。我们也无法知道他的行踪。从入侵Davis的邮箱帐号到钱被盗,黑客仅仅用了一个半小时。

Authy可能知道出事了。所以客服对所有可疑行为进行严密监视,虽然他们的监控非常谨慎,重置到州外的账户都会被标记出来。但是对于诈骗中心俄罗斯和乌克兰,这样的标记非常多,所以无法紧密监视Eve。但是Eve登录Coinbase的IP更可能来自于加拿大,他们是否会阻止他呢?现代安全系统,例如谷歌的ReCAPTCHA,经常进行类似的工作,得到足够的证据后,将账户冻结。但是Coinbase和Authy得到的证据并不完全,不足以冻结Partap的账户。

BTC-E和BITSTAMP

当Davis醒来时,他首先注意到的是Gmail账户莫名其妙的登出。密码被修改了,他无法重新登录账户。当他重新进入账户后受到了严重的打击:coinbase账户是空的,钱都被转走了;电子邮箱被盗;所有的客服部门没法确认他的身份信息。

其他两个钱包怎么样了呢?有价值2500美金的比特币在里面。Coinbase账户并没有广告保护。但是当Davis检查这两个账户时,发现这两个账户仍然完好无损。BTC-E用重置密码后48小时来让用户证明身份并恢复账户。BITSTAMP有更简单的保护措施:当Eve重置Davis的密码时,它要求Eve出示驾照图片。尽管Eve已经得到了所有信息,但是仍然有他没得到的信息。Davis剩下的2500美金的比特币是非常安全的。

推特

从攻击开始到现在2个月了,Davis回归了自己的生活。黑客最后入侵的是Davis的推特帐号,发现的最后的黑客踪迹是推特账户。推特账户持续被黑了几个星期,Eve插入了新的图片,并抹除了Davis的所有痕迹。攻击后的几天,他贴出了一张攻击Xfinity账户的图片,标签了另一个操作。这个账户并不属于Davis,属于另一个人。他已经攻击另一个目标了,使用的是@Partap的身份。

谁才是背后的攻击者? Davis花费几个星期追踪他,浪费整个下午的时间给客服打电话,但是没有得到任何有效信息。根据账户记录,Eve的IP地址在加拿大,但是他可能使用Torhuozhe VPN掩盖踪迹。他的电话号码实在Long Beach,安卓手机来自加利福尼亚,并且他的手机极有可能是一次性的。所以,我们只能得到很少的信息,毫无踪迹可寻,任凭Eve带着钱远走高飞了。

Eve为什么选择Partap Davis? 因为他知道钱包的一些信息。为什么他要花费那么多时间挖通账户?在最开始时先攻击邮箱账户,因此我们可以设想,他在某种场合下载Bitcoin的用户列表上发现了Davis的名字。也可能在设备供应商或者比特币零售商那里找到了Davis的名字。信息泄露是很常见的现象。

Davis现在更加谨慎,他放弃使用Mail.com的邮箱地址,他的生活有了很大的改变。Coinbase拒绝了Davis的赔偿请求,因为他们认为公司的安全措施没有漏洞。于是Davis写信给没有联邦调查局,但是FBI对这个案子并不感兴趣。他还不停的用电话等方式重置账户。这个世界其实并不安全,黑客攻击无孔不入,网络越发达,就越难维护账户安全。

最重要的是,重置密码非常容易。Eve一次又一次的利用这个漏洞进行攻击。一个并不复杂的算法最终阻止了Eve的入侵:一个让顾客等待48小时确认身份信息的服务。在技术层面上,这是一个很简单的操作,但是成本高昂。公司其实非常不容易:不断的向用户妥协,方便用户使用,还要让利益风险小。一些人的账户可能被盗,但是上百万的用户可以继续使用没有服务问题的账户。在安全和便利的斗争中,安全是武器。

评论:34

您需要登录后才可以回复 登录|注册
    happy大步行走
    happy大步行走 623 天前

    //@不卖自萌VV酱:看起来弱点在email 上,而且email被重置不需要原密码,是服务商的缺陷。所以解决问题的办法是1,不用不靠谱的邮件服务(比如中国的)2,可以使用特殊的手段:用自己的域名注册mail作为密码重置途径,然后解挂MX记录,等需要重置密码时再重新上MX记录。(不过这个太变态了,我都不常用

    +1
    +1
    我要点评
    dreambeta
    dreambeta 633 天前

    @有道云笔记收藏

    +1
    +1
    我要点评
    币特比
    币特比 634 天前

    回复@行者止步:我可以证明,中国联通北京号码就可以了!有服务密码,进网站,设置呼转就OK,手机没任何提示!

    +1
    +1
    我要点评
    不卖自萌VV酱
    不卖自萌VV酱 634 天前

    看起来弱点在email 上,而且email被重置不需要原密码,是服务商的缺陷。所以解决问题的办法是1,不用不靠谱的邮件服务(比如中国的)2,可以使用特殊的手段:用自己的域名注册mail作为密码重置途径,然后解挂MX记录,等需要重置密码时再重新上MX记录。(不过这个太变态了,我都不常用)

    +1
    +1
    我要点评

    初见你时你给我你的心,里面是一个春天的早晨。再见你是骂你给我你的话,说不出的是炙热的火夏。三次见你你给我你的手,里面藏着个落叶的深秋。最后见你是我做的短梦,梦里有你还有一群冬风。——邵洵美《季候》

    +1
    +1
    我要点评
    yuan_moving
    yuan_moving 634 天前

    小马甲账户是防范黑客目光的第一道防线。~~~

    +1
    +1
    我要点评
    诺赢千里
    诺赢千里 635 天前

    回复@行者止步::提醒的好。否则移动服务密码被破解就危险了。必须要绑定authy

    +1
    +1
    我要点评
    zwh888666
    zwh888666 635 天前

    回复@行者止步:我靠,河南移动服务密码居然只能6位数字!而且登陆也是它!

    +1
    +1
    我要点评
    zwh888666
    zwh888666 635 天前

    回复@行者止步:看来要换个复杂点的手机服务密码了!

    +1
    +1
    我要点评
    行者止步
    行者止步 635 天前

    回复@诺赢千里:刚刚测试过 有中国移动手机网站登录密码+服务密码就可以开通呼叫转移 号码随便写 没绑定authy的同学要小心了

    +1
    +1
    我要点评
    行者止步
    行者止步 635 天前

    回复@zwh888666:刚刚测试过 有手机网站登录密码+服务密码就可以开通呼叫转移 号码随便写 没绑定authy的同学要小心了

    +1
    +1
    我要点评
    比太钱包
    比太钱包 635 天前

    回复@梦想与现实2012思考中: 非常感谢您的建议哈 [握手]

    +1
    +1
    我要点评

    如果比太和交易所合作能够做到既挂单又不彻底失去控制 肯定能吸引很多用户。:)

    +1
    +1
    我要点评
    比太钱包
    比太钱包 635 天前

    回复@梦想与现实2012思考中:[可爱]

    +1
    +1
    我要点评

    是放在交易所挂单的。

    +1
    +1
    我要点评
    比太钱包
    比太钱包 635 天前

    回复@铝合金地球人: 历史上放别人那里丢的币更多哈,不是一个数量级哒 [偷笑]

    +1
    +1
    我要点评
    铝合金地球人
    铝合金地球人 635 天前

    [泪流满面]自己放很容易丢。。。。

    +1
    +1
    我要点评
    泪颜诉相思L
    泪颜诉相思L 635 天前

    在这段感情里 你付出了多少

    +1
    +1
    我要点评
    诺赢千里
    诺赢千里 635 天前

    挺关键的一环是手机可以被别人异地呼叫转移。这个国内好像做不到吧

    +1
    +1
    我要点评
    昌用
    昌用 635 天前

    值得一看。//@姜家志:[疑问]//@比太钱包:把比特币放在别人那里,还是比特币吗[疑问]

    +1
    +1
    我要点评
    姜家志
    姜家志 636 天前

    [疑问]//@比太钱包:把比特币放在别人那里,还是比特币吗[疑问]

    +1
    +1
    我要点评
    发霉的包子
    发霉的包子 636 天前

    长知识了

    +1
    +1
    我要点评
    码农周琪
    码农周琪 636 天前

    [思考]//@i问号: 注册登录,绑定邮箱、手机、谷歌二次验证,出示驾照图片、身份证明,甚至要求拍照上传,这真比私钥的学习成本更低吗?真比自己管理比特币更安全吗?//@比太钱包:把比特币放在别人那里,还是比特币吗[疑问]

    +1
    +1
    我要点评
    i问号
    i问号 636 天前

    注册登录,绑定邮箱、手机、谷歌二次验证,出示驾照图片、身份证明,甚至要求拍照上传,这真比私钥的学习成本更低吗?真比自己管理比特币更安全吗?//@比太钱包:把比特币放在别人那里,还是比特币吗[疑问]

    +1
    +1
    我要点评
    珠海比特币
    珠海比特币 636 天前

    //@宋辰文: [疑问] //@比太钱包: 把比特币放在别人那里,还是比特币吗[疑问]

    +1
    +1
    我要点评
    宋辰文
    宋辰文 636 天前

    [疑问] //@比太钱包: 把比特币放在别人那里,还是比特币吗[疑问]

    +1
    +1
    我要点评
    比太钱包
    比太钱包 636 天前

    把比特币放在别人那里,还是比特币吗[疑问]

    +1
    +1
    我要点评
    zwh888666
    zwh888666 636 天前

    但是Eve通过mail.com和通过语音接收的新的确认码,很容易的就在自己的手机上重置了Authy. AUTHY不是指谷歌二次验证软件吗?谷歌二次验证应该每个网站都不同啊,重置也只能一个个网站来啊? 在中国,用那种方式控制手机呼转不可能吧?必须身份证去营业厅或拿到手机发短信吧?

    +1
    +1
    我要点评
    Author Image
    老大 636 天前

    但是Eve通过mail.com和通过语音接收的新的确认码,很容易的就在自己的手机上重置了Authy. AUTHY不是指谷歌二次验证软件吗?谷歌二次验证应该每个网站都不同啊,重置也只能一个个网站来啊?
    在中国,用那种方式控制手机呼转不可能吧?必须身份证去营业厅或拿到手机发短信吧?

    +1
    +1
    我要点评
    青梅
    青梅 636 天前

    黑客通过AT&T客服完成呼叫转移那步算典型社工,提醒@中国移动10086 //@筋斗云windover:应该给人以选择:选择强安全和选择便利性。比特币也需要选择隐私性和安全性。

    +1
    +1
    我要点评

    //@RippleChina: ripple网关厉害!!!

    +1
    +1
    我要点评
    RippleChina
    RippleChina 636 天前

    ripple网关厉害!!!

    +1
    +1
    我要点评
    旺旺好男银
    旺旺好男银 636 天前

    确实不应该很轻易就重置密码。@我的印象笔记

    +1
    +1
    我要点评
    筋斗云windover
    筋斗云windover 636 天前

    应该给人以选择:选择强安全和选择便利性。比特币也需要选择隐私性和安全性。

    +1
    +1
    我要点评