Újra felállt a BitInstant

2013-03-07

Szerző: Zeljka Zorz, a HNS szerkesztője

Csütörtök estétől hétfőig elérhetetlen volt a BitInstant bitcoin-váltó egy “kifinomult” támadás okán, melynek során a támadók zsákmányoltak ugyan 12.480$ értékű bitcoint, de szerencsére a felhasználók adataihoz nem férhettek hozzá.

“Régóta kerülget már minket valaki, aki pszichológiai és kommunikációs trükkökkel próbál hozzáférést szerezni a különböző váltóknál és hosting-szolgáltatónknál (az Amazon AWS-nél) fenntartott felhasználói fiókjainkhoz, sőt, még a személyes fiókjaimhoz is, többnyire sikertelenül” – magyarázta a BitInstant csapatának egyik tagja. – “Technikai úton egészen a mostani esetig soha senki illetéktelen nem tudott hozzáférni egyetlen rendszerünkhöz vagy fiókunkhoz sem.”

A leggyengébb láncszemnek azonban a Site5, az oldal domainregisztere bizonyult, mivel az ő munkatársaiknál beváltak a támadók pszichológiai és kommunikációs trükkjei: sikeresen elhitették velük, hogy a BitInstant nevében beszélnek; hozzáadattak velük egy új email-címet az oldal fiókjához és azt tettették meg elsődleges login-adatnak.

Ez elég hamar kiderült ugyan, és ki is tették a szűrüket, de utána újra sikeresen beférkőztek és átirányították a DNS-t: a névszervereket átállították a német hetzner.de-re, majd átterelték a forgalmat egy ukrán hosting-szolgáltatóhoz.

Így sikerült kizárniuk a BitInstant társalapítóit, meglovasítani az emailjeiket és resetelni a Virwox-váltónál fenntartott fiókjuk login-adatait. Így jutottak hozzá végül a fent említett összeghez.

“Egyetlen más váltót sem érintett az eset, köszönhetően az alkalmazott többtényezős azonosítási módszereknek, OTP-knek, Yubikey-eknek és automata záraknak” – jelezte a BitInstant csapata, hozzátéve még azt is, hogy az ellopott belső vállalati levelezéssel szintén nem mennek sokra a támadók, mivel minden levelezésüket PGP-titkosítással védik.

A felhasználóknak üzenik, hogy személyes adatok egyáltalán nem kompromittálódtak, mivel azokat épp az ilyen esetekre felkészülve eleve teljesen offline tárolják. Ezt a csekély összeget is csak a rendszerük keresztmetszet-szukületeinek és redundanciáinak köszönhetően tudták ellopni.

Gyanítják, hogy a támadók orosz származásúak lehettek – annak ellenére, hogy elég ügyesen leplezték a nyomaikat. Azt is mondták, hogy a lehető leghamarabb átköltöznek egy másik, biztonságosabb regiszterhez.

Forrás: HELP NET SECURITY

A lap szövege Creative Commons Nevezd meg! – Ne add el! – Így add tovább! 3.0 licenc alatt áll, felhasználni csak forrásmegjelöléssel, és ide mutató linkkel szabad.