Слухи о том, что с онлайн-кошельком Inputs.io не все в порядке, ходили на форуме Bitcointalk в течении последней недели. Сегодня разработчик и владелец сервиса, известный под ником TradeFortress, выпустил официальное заявление о том, что вынужден закрыть сервис в результате серьезной хакерской атаки.
В заявлении говорится:
«Я знаю, что это мало кого утешит, но очень сожалею о происшедшем — и это еще мягко сказано.»
Предполагалось, что Inputs.io станет «онлайн-кошельком повышенной безопасности», но реальность оказалась не такой радужной. Очевидно, сервис был взломан 23 октября, и хакеры украли биткойнов на сумму более 1,2 млн. долларов в текущих ценах.
В заявлении TradeFortress, опубликованном сегодня утром, также говорится:
«Две хакерских атаки нанесли ущерб на общую сумму около 4,100 BTC и привели к тому, что Inputs.io не в состоянии выплатить все балансы пользователям. Злоумышленник получил доступ к хостинг-аккаунту через захват учетных записей электронной почты (некоторые из них были старыми и без привязки к номеру телефона, так что он смог легко получить над ними контроль). Злоумышленник смог обойти 2-уровневую идентификацию из-за дефекта на стороне хостинг-сервера.
«Хакер получил доступ к базе данных, но пароли пользователей хранятся надежно, в виде хэша а не открытым текстом.
«Если у вас хранилось на Inputs.io более 1 BTC, отправьте письмо на [email protected]а с вашим биткойн-адресом (предпочтительно, используйте безопасный оффлайн-кошелек, например Multibit или Electrum). Используйте e-mail, зарегистрированный на Inputs.io. Пожалуйста, не храните Bitcoins на компьютерах, подключенных к Интернет, независимо от того, ваш это компьютер или онлайн-сервисы.
Согласно Hacker News, так же как и в случае кражи из сервиса Bitfloor (там было украдено 24 тысячи BTC), биткойны были выведены из «hot wallet» сервиса — подключенного биткойн-кошелька, который обслуживал оперативный ввод-вывод пользователей сервиса. Оказалось, что Inputs.io самоуверенно держал большинство своих монет в этом подключенном кошельке, в то время как общепринятой практикой для других сервисов является хранение до 80% фондов в офф-лайне.
Inputs.io заявил, что, хотя взлом состоялся 23-го октября, пострадают также и вкладчики, депозиты которых были сделаны после этой даты, так как другие пользователи могли за это время вывести средства из общего кошелька.
В отличие от такого популярного сервиса как Blockchain.info (который, хотя и считается более безопасным, тоже столкнулся с некоторыми проблемами в августе), Inputs.io держал все биткойны в общем кошельке и сам управлял балансом своих пользователей и всеми их секретными ключами — что и позволило хакеру получить полный доступ ко всем хранимым биткойнам.
Blockchain.info не имеет доступа к биткойнам своих пользователей, а только хранит их кошельки в зашифрованном виде. Доступа к счету защищен сложным идентификатором/псевдонимом, паролем и двухфакторной аутентификацией, что, как правило, считается безопасным. Однако, как и любая другая технология, ничто не дает 100% ной гарантии безопасности. Например, из обсуждения на форуме Bitcointalk (пользователь masteroflove):
«Если бы домен blockchain.info был скомпрометирован, ничего не помешает хакеру разместить там вредоносный JavaScript, который будет записывать ваши пароли и сможет в результате получить доступ ко всем вашему зашифрованному биткойн-кошельку. Именно поэтому рекомендуется использовать Chrome или Firefox плагин blockchain.info вместо доступа через браусер. Но даже это не дает 100% защиты, так как злоумышленник, получивший полный доступ к учетным записям blockchain.info может протолкнуть вредоносное обновление плагина, которое установится если ваш браусер автоматически обновляет свои приложения.»
У людей накопилось много вопросов и претензий к разработчику TradeFortress, который, хотя и скрывается за псевдонимом, все время утверждал, что обладает обширными знаниями в области безопасности вообще и глубоким пониманием процедур безопасности кошельков Bitcoin в частности.
Когда мы обратились к нему за комментариями, он сообщил, что «злоумышленник сумел скомпрометировать старые учетные записи электронной почты, которые было легко сбросить и переустановить, так как у них не было привязки к телефону. Используя доступ к этим аккаунтам, хакер сбросил и перехватил и другие, что в конечном итоге позволило ему сбросить пароль учетной записи хостинга и получить контроль над панелью управления сайта после успешного обхода двухфакторной аутентификации на стороне хостинга.»
Он продолжил: «Мы не использовали шифрования на стороне клиента; считали что это те так уж и надежно и только дает людям ложное чувство безопасности» .
На вопрос о том, сколько биткойнов Inputs.io сможет возместить пользователям, он ответил очень туманно: «Мы сможем вернуть (некоторым) до 100%. Это зависит от их остатка, который хранился у нас. Если остаток был более 1 BTC, то вернем 74%, для остатка более 2 BTC — 65%, далее по скользящей шкале… Эта цифра не является окончательной, и если у нас что-то останется [невостребованным], то возможно мы сможем вернуть и больше».
Другими словами, если у вас хранилось меньше 1 BTC на Inputs.io, вы должны получить все обратно, в противном случае, будьте готовы к тому, что ваши монеты «постригут».
Онлайн-кошелек Inputs.io стал жертвой хакерской атаки
Запись в блоге разместил пользователь durio, 30 янв 2014.
![[IMG]](https://bitalk.org/redirect.php?blog=bitnovosti.files.wordpress.com/2013/11/hacker_internet_web_attack_580-100033460-gallery.jpg)
![[IMG]](https://bitalk.org/redirect.php?blog=bitnovosti.files.wordpress.com/2013/11/inputs-io-bitcoins-stolen.png)
