На момент написания bitstamp (!!!), btcchina, bitfinex и, возможно, другие по-прежнему уязвимы.
Возможно bitstamp и btcchina виноваты из-за incapsula.
http://heartbleed.com/
http://filippo.io/Heartbleed/
|
|
||||||
8 апреля 2014, 9:19:57 AM
|
# 1 |
Сообщения: 725
цитировать ответ |
Re: CVE-2014-0160 ставит Bitcoin сайтов на риск
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
8 апреля 2014, 12:26:48 PM
|
# 2 |
|
Сообщения: 728
цитировать ответ |
Re: CVE-2014-0160 ставит Bitcoin сайтов на риск
Получил 1806 Биткоинов
Реальная история. Bitstamp в настоящее время отключены логины. Они отправили это на их сайте:
котировка Уважаемые клиенты, Bitstamp После уязвимостей в OpenSSL, мы применили необходимые патчи к нашей системе. Incapsula, наш поставщик смягчения DDOS все еще работает латать свою систему. Для обеспечения необходимой безопасности, как система должна быть исправлена. Мы находимся в постоянном контакте с Incapsula и работать с ними для выполнения необходимых процедур. До тех пор Bitstamp не решил временно отключить: -Регистрационный счет, -логин аккаунта -и все функции вывода виртуальной валюты Мы будем держать вас в курсе прогресса. Спасибо за понимание. С наилучшими пожеланиями команда Bitstamp BitFinex направил письмо своим пользователям ранее сегодня: котировка Привет Rannasha, Как вы можете быть в курсе, вчера была обнаружена уязвимость затрагивает последние версии OpenSSL, используемые Bitfinex. В то время как эта уязвимость уже исправлена, мы настоятельно рекомендуем вам изменить свой пароль как можно скорее и включить / повторно включить проверку подлинности OTP в вашем аккаунте Bitfinex. Изъятия будут отключены в течение 10 часов, чтобы дать вам время, чтобы изменить вашу информацию. Мы будем информировать вас о ситуации в ближайшие часы. С Уважением, Bitfinex Team https://www.bitfinex.com/ |
|
|
|
|
8 апреля 2014, 9:39:03 PM
|
# 3 |
|
Сообщения: 389
цитировать ответ |
Re: CVE-2014-0160 ставит Bitcoin сайтов на риск
То есть быть ошибкой века ... если не навсегда.
не означает, что в течение 2-х лет с тех пор код был выпущен кого работает сервер с помощью OpenSSL 1.0.1 (до 1.0.1f включительно) злоумышленник может молча (т.е. никакой регистрации или тропинка) скачать Ssl закрытый ключ с сервера. И тогда, если они могли бы перехватывать любой SSL трафика между сервером и клиентом, они могли бы расшифровать эти данные (опять же молча, не оставляя никаких следов). И можно было бы сделать это в течение 2-х лет. Или я неправильный конец палки здесь? Это означает, что каждый пользователь должен изменить каждый пароль на каждом сайте, который использовал 1.0.1? Refs: https://heartbleed.com/ http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db9023b881d7cd9f379b0c154650d6c108e9a3;hp=0d7717fc9c83dafab8153cbd5e2180e6e04cc802 http://security.stackexchange.com/questions/55076/what-should-a-website-operator-do-about-the-heartbleed-openssl-exploit |
|
|
|
|
9 апреля 2014, 12:35:33 PM
|
# 4 |
|
Сообщения: 1764
цитировать ответ |
Re: CVE-2014-0160 ставит Bitcoin сайтов на риск
То есть быть ошибкой века ... если не навсегда. не означает, что в течение 2-х лет с тех пор код был выпущен кого работает сервер с помощью OpenSSL 1.0.1 (до 1.0.1f включительно) злоумышленник может молча (т.е. никакой регистрации или тропинка) скачать Ssl закрытый ключ с сервера. И тогда, если они могли бы перехватывать любой SSL трафика между сервером и клиентом, они могли бы расшифровать эти данные (опять же молча, не оставляя никаких следов). И можно было бы сделать это в течение 2-х лет. Или я неправильный конец палки здесь? Это означает, что каждый пользователь должен изменить каждый пароль на каждом сайте, который использовал 1.0.1? Refs: https://heartbleed.com/ http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db9023b881d7cd9f379b0c154650d6c108e9a3;hp=0d7717fc9c83dafab8153cbd5e2180e6e04cc802 http://security.stackexchange.com/questions/55076/what-should-a-website-operator-do-about-the-heartbleed-openssl-exploit Это очень плохо ошибка, но помните, что кошмар Debian OpenSSL? Не совсем на том же уровне, но это было гораздо смешнее. |
|
|
|
|
9 апреля 2014, 3:48:28 PM
|
# 5 |
|
Сообщения: 145
цитировать ответ |
Re: CVE-2014-0160 ставит Bitcoin сайтов на риск
То есть быть ошибкой века ... если не навсегда. не означает, что в течение 2-х лет с тех пор код был выпущен кого работает сервер с помощью OpenSSL 1.0.1 (до 1.0.1f включительно) злоумышленник может молча (т.е. никакой регистрации или тропинка) скачать Ssl закрытый ключ с сервера. И тогда, если они могли бы перехватывать любой SSL трафика между сервером и клиентом, они могли бы расшифровать эти данные (опять же молча, не оставляя никаких следов). И можно было бы сделать это в течение 2-х лет. Или я неправильный конец палки здесь? Это означает, что каждый пользователь должен изменить каждый пароль на каждом сайте, который использовал 1.0.1? Refs: https://heartbleed.com/ http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db9023b881d7cd9f379b0c154650d6c108e9a3;hp=0d7717fc9c83dafab8153cbd5e2180e6e04cc802 http://security.stackexchange.com/questions/55076/what-should-a-website-operator-do-about-the-heartbleed-openssl-exploit Вы правильно, и есть много других способов использования памяти сервера. Например, было показано (и я испытал его на своих собственных серверах), которые вы можете сбросить HTTP заголовки (не осталось и следа!) И извлечения идентификаторов сеансов. Вы можете тривиальным использовать этот идентификатор сеанса маскироваться как зарегистрированный пользователь. Это очень легко. |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.