Мы с сожалением сообщаем вам, что там был еще один огромный нарушение Bitcoinica. В то время как все пароли были изменены после кражи, которая произошла 11 мая, пароль для LastPass не была нарушена, и, таким образом, остается неизменным. Нарушение сегодня произошло потому, что пароль для LastPass был фактически дублирует пароль, который был взломан во взломе.

Незаметно для нас, Tihan был использованием mtgox ключа апи в качестве пароля для веб-сайта под названием LastPass.

LastPass содержит все ваши пароли. Имя пользователя было info@bitcoinica.com. После первоначального компромисса, исходный код был бы испорчен. Но пароль LastPass не был изменен.

Операторы Bitcoinica, вероятно, не думаю, чтобы изменить его, потому что они могут предположить, что пароль LastPass не был тот же пароль, как ключ API MtGox. Такой недостаток огромная брешь в безопасности. Оригинальный хакер мог бы нанести ущерб средств на 11 мая или в любой день после этого.

Такая практика безопасности в результате первоначальной кражи. К тому времени, мы взяли на себя процесс утверждает, что она была под информацией о том, что пароль LastPass был безопасным. Это Infact должно быть безопасным способом были сообщены новые пароли.

Это привело к потере одной трети всех денег Bitcoinica, которая была похищена из MtGox. (40k BTC и 40K USD - mtgox ежедневные лимиты)

В то время как первоначальный хакер имел возможность вызвать это нарушение, то вполне вероятно, что он не воспользовался, пока многие пользователи не имели доступа к исходному тексту в недавней утечки:

Исходник скачать ссылка: http://depositfiles.com/files/2p6zvadzs

Пароль LastPass был установлен ключом полуобщественного апи, это очень похоже на использование имени пользователя для одного сайта в качестве пароля на другом.

Тот, кто несет ответственность за последние кражи используется ключ API MtGox в качестве пароля в LastPass в надежде, что простые меры безопасности не соблюдались в создании в LastPass. Они получили доступ к MtGox. Они перенесли треть возврата денег, предположительно, к себе. Bitcoinica было по крайней мере 5 основных угроз безопасности, так как это начать. Мы рекомендовали их кодовое быть полностью переписаны, но не были осведомлены о своей практике безопасности.

Я начинаю жалеть, становлюсь втянутым с таким дрянным и плохо обеспеченным сайтом как Bitcoinica.

редактировать: Ключ API был изменен, но кто-то был счет LastPass с тем же паролем, что и, и активно обновляет его с новыми паролями.

40k USD и 40k BTC были украдены (~ 350k USD).

Для тех, кто сомневается, что мы не были GP, вы можете запустить «журнала» GIT в исходном коде. Мы не имели никакой ответственности брать на себя платежи, но мы (и завершили формирование Bitcoinica Consultancy, чтобы сделать это). Процесс платежей выглядели хорошо, но теперь Патрик ушел, и я не уверен, что произойдет дальше. Исходный код иллюстрирует масштабы проблем, связанных с Bitcoinica (пароли во всем источнике, плохой дизайн, недостатки кода).

Мы не были посвящены во все проблемы при приеме на Bitcoinica. Чжоу платят $ 8000 в месяц для работы Bitcoinica в его части время Tihan был карабкаться, чтобы получить сайт работать. В течение последнего месяца, Чжоу не принимает оплату, чтобы вернуть деньги украден компромиссом Linode. Tihan мчался, чтобы получить документы закончили, потому что Чжоу посещает школу. Мы слали документы обратно сказать, что это неполное и есть проблемы, поэтому, когда первоначальный компромисс произошел, компания еще не была полностью сформирована. Первоначальная путаница над тем, кто несет ответственность в качестве врача общей практики - владелец времени части посвящая возможно 5 часов в неделю? Новые владельцы, которые не имели никакого опыта операционного сайт? Посредник, который действует от имени собственника и не имеет каких-либо технических знаний? Вот почему платежи были изначально осложнены и замедленным.

Я отправлю еще одно обновление, как только я знаю больше. Я предполагаю, что платежи будут принимать вынужденную 30% сократить. Это стоило каждого много денег, время и стресса дела с этой кашей. Мы активно теряем деньги от операций с выплатами.

Обновить: вот факты с моей точки зрения:

- Патрик ушел.
- Чжоу бросить курить.
- Tihan был уволен, и больше не действует от имени Bitcoinica LP.
- Bitcoinica Consultancy были новые операторы приходят на борту, и компания была создана после того, как компромисс, чтобы облегчить выплаты из.
- Bitcoinica LP является владельцем.

Процесс платежей находится в тупике. Технически, когда компания находится в долг, и не может погасить должников в полном объеме, он передает процесс правительству (так называемый конкурсное управление). Bitcoinica LP бы сделать заявление в полицию, и руку над процессом платежей в качестве владельцев.

Вот и в принципе. Просто тупик.


Нет.

Обновление 19 июля: платежи все еще застряли на уровне 38%. Учитывая, что те 50% выплаты, это означает, что хороший 76% от требований. Это не 76% заявителей, а 76% от общего объема средств.

Однако, учитывая то, что никто не делает ничего, я разговаривал с некоторыми из людей с большими претензиями. Они предложили помочь взять над процессом со мной. Я полагаю, что мы должны получить письменное согласие, что Bitcoinica Consultancy не существует или, что если он делает, что члены уволиться. Это позволяет Bitcoinica LP взять на себя и передать процесс выплаты нам. Технически Bitcoinica LP владеет активами.