Tagi

, , , , , ,

Gdy dziś rano zajrzałem na stronę Picostocks (oferującą akcje spółek za BTC) moim oczom ukazał się bardzo niepokojący komunikat:
PicoStocks.com we are down for maintenance. Sorry for the inconvenience. We will be up soon. See: https://bitcointalk.org/index.php?topic=133147.msg2432036#msg2432036

Jak czytamy w wątku – atakujący uzyskał dostęp do dwóch kont użytkowników na portalu Picostocks. Z jednego z nich ukradł 1300 BTC o aktualnej wartości 429 000 złotych. Mają one zostać w pełni zrefundowane przez założycieli portalu.
ImageWłamanie było możliwe – ze względu na nieprzestrzeganie zaleceń bezpieczeństwa i brak zastosowania zabezpieczeń takich jak:
– mocne, niepowtarzalne (nie używane nigdzie indziej) hasła
– podwójna autoryzacja logowania (2FA) czyli hasło + jednorazowy token
– offline wallet (cold storage) – czyli portfel odłączony od Internetu
– brak niezależnego audytu informatycznego systemu, który mógłby ujawnić luki
Więcej szczegółów w wątku na bitcointalk.

Co warto podkreślić:
Zastosowanie wyżej wymienionych podstawowych zasad lub zwykła dywersyfikacja posiadanych środków uniemożliwiłaby poniesienie tak ogromnej straty.
Mtgox oraz Bitcurex stosują cold storage, czyli trzymają większość Bitcoinów „poza Internetem”.
Gdyby zostawić klucz do sejfu – na stoliku albo pod wycieraczką – można spodziewać się utraty kosztowności. Niestety błędy i brak dobrych zabezpieczeń sporo kosztują.
Jeśli ktoś z Państwa chciałby dowiedzieć się więcej o bezpieczeństwie przechowywania BTC albo umówić się na szkolenie: blogsatoshi@gmail.com.
p.s.
Konta bankowe – w razie nie przestrzegania procedur – też nie są bezpieczne.

Reklamy