Доклады MtGox быть взломаны реальны (Fixed)

Этот эксплойт не больше не является активным.

Я определил эксплойт в MtGox позволяет злоумышленнику полностью взять на себя внимание некоторые пользователи.

Я пытался связаться с MagicalTux в течение нескольких часов, но я чувствую, что общее предупреждение должно выйти пользователь.

Все темы про счета MtGox взлома реальны.

Надежный пароль не поможет. Антивирусное программное обеспечение Вирус НЕ ПОМОЖЕТ ВАМ.

Это не троян или вирус.

Вы можете защитить себя, только посетив MtGox, а затем сразу же выходить из системы.

обходной путь: выйти из mtgox, использовать его в отдельном браузере или в режиме инкогнито в Chrome

phantomcircuit: Вы должны добавить, что пользователи проверить свою электронную почту АДРЕСА в их mtgox профиле. если они неверны, они должны изменить свой адрес + пароль

Лик хирург общего предупреждение?

Код:

Bitcoin ПРЕДУПРЕЖДЕНИЕ ГЛАВНОГО: Торговая
Bitcoins Причины ____ ______, _____ _______,
_________ и может осложнять ________.

Я должен упомянуть, что это уязвимость CSRF. чтобы люди знали, что делать, чтобы защитить себя.

Это имело бы смысл, мой счет был взломан, и единственными местами, которые я использовал мой пароль был mtgox, tradehill и deepbit.

Простите мое невежество, но бассейн слякоти была бы уязвим тоже? Это что-то Bitcoin платформы wide..ie с API,?

Цитата: phantomcircuit от 18 июня 2011 года, 2:04:42 AM

Я должен упомянуть, что это уязвимость CSRF. чтобы люди знали, что делать, чтобы защитить себя.

что CSRF?

Цитата: cypherdoc от 18 июня 2011 года, 2:09:15 AM

что CSRF?

Cross-Site Request Подделка

Цитата: allinvain 18 июня 2011, 02:06:28 AM

Простите мое невежество, но бассейн слякоти была бы уязвим тоже? Это что-то Bitcoin платформы wide..ie с API,?

Возможно. Это общая проблема безопасности многих сайтов есть.

Tradehill не имеет никаких сообщений о взломе. Если сообщения о нарушении безопасности Mtgox верно, я предполагаю, что они будут ликвидировать их БТД. Будьте осторожны в ближайшие недели и месяцы.

Цитата: phantomcircuit от 18 июня 2011 года, 1:58:48 AM

Я определил эксплойт в MtGox позволяет злоумышленнику полностью взять на себя внимание некоторые пользователи.

Я пытался связаться с MagicalTux в течение нескольких часов, но я чувствую, что общее предупреждение должно выйти пользователь.

Все темы про счета MtGox взлома реальны.

Надежный пароль не поможет. Антивирусное программное обеспечение Вирус НЕ ПОМОЖЕТ ВАМ.

Это не троян или вирус.

Вы можете защитить себя, только посетив MtGox, а затем сразу же выходить из системы.

кажется Полчища панических людей, которые будут бежать Mt. GOx по неизвестной причине. Профессор, не зная точно, что опасность есть, вы бы сказать, что это время для наших зрителей, чтобы взломать головы друг друга открытыми и пир на слизи внутри?

Так что это означает ...

Если вы идете на другой сайт с эксплойт, а вы вошли в mtgox, этот сайт может выполнять операции на Вашем счете mtgox.

Чтобы защитить себя, использовать отдельный браузер для mtgox ТОЛЬКО.

Если вы обычно используете Firefox, установить хром и использовать его для mtgox. Если вы используете хром, установите Firefox.

Если вы используете и установите отдельную копию Firefox портативный если вы на окнах.

Кстати на mtgox.com вы можете зарегистрировать имена, как " яблоко" с пространством спереди, отдельно от счета "яблоко", Может быть, это может привести к эксплойт.

Я хочу добавить, что phantomcircuit является оп для #bitcoin на IRC, где другие люди подтвердили его. Так что не давайте его всего 15 сообщений на форуме здесь отговорить вас, как он говорить с властью.

Цитата: КГО 18 июня 2011, 02:19:45 AM

Там нет необходимости устанавливать совершенно отдельный браузер. Создайте новый профиль, только для Mt. GOx, и запустить его с помощью ярлыка, как это:
firefox.exe -Р "NewProfileNameHere" -по-пульт

После этого вы можете сделать то же самое для другого профиля и работать как в то же время, без взаимодействия.

Цитата: Horkabork от 18 июня 2011 года, 2:29:30 AM

Цитата: КГО 18 июня 2011, 02:19:45 AM

Да, это будет работать. Я пытался обеспечить простое решение для людей, которые не технари.

Таким образом, они принимают мое печенье? NOZ!

Я независимо друг от друга подтвердили, что MtGox имеет vuln ГИГАНТСКИЙ CSRF, который позволяет мне опустошить ваш счет.

MagicalTux, вы должны знать лучше, чем это. Честно.

Цитата: Icy- от 18 июня 2011 года, 2:42:46 AM

Таким образом, они принимают мое печенье? NOZ!

В основном, когда вы посещаете их сайт, они тайно загрузить IFRAME, который содержит mtgox.com. URL из Iframe указывает на отверстие XSS, который впрыскивает Javascript для отправки document.cookie (который хранит ваши данные сеанса) на сайте они есть. Затем они могут поместить данные куки в браузере, и принять сеанс и войти в mtgox.

Я не знаю, что это специфическое эксплуатируют, но это, как он вообще работает.

Не уверен, если это уместно, но я заметил, что TradeHill не автоматически завершает сеанс после определенного периода бездействия. Я заметил, что однажды утром, когда я прыгал на моем компьютере, я не должен войти в систему - я до сих пор вошли в систему с ночи.

Цитата: Imperi от 18 июня 2011 года, 2:47:02 AM

Цитата: Icy- от 18 июня 2011 года, 2:42:46 AM

Таким образом, они принимают мое печенье? NOZ!

Nope.avi.
CSRF! = XSS.

XSS = кладу JavaScript на сайте

CSRF = поставить форму на моем сайте, публикующие на ваш сайт, для дополнительного удовольствия автоматически отправить его с JavaScript

18 июня 2011, 1:58:48 AM	# 1
phantomcircuit Сообщения: 463 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Этот эксплойт не больше не является активным. Я определил эксплойт в MtGox позволяет злоумышленнику полностью взять на себя внимание некоторые пользователи. Я пытался связаться с MagicalTux в течение нескольких часов, но я чувствую, что общее предупреждение должно выйти пользователь. Все темы про счета MtGox взлома реальны. Надежный пароль не поможет. Антивирусное программное обеспечение Вирус НЕ ПОМОЖЕТ ВАМ. Это не троян или вирус. Вы можете защитить себя, только посетив MtGox, а затем сразу же выходить из системы. обходной путь: выйти из mtgox, использовать его в отдельном браузере или в режиме инкогнито в Chrome phantomcircuit: Вы должны добавить, что пользователи проверить свою электронную почту АДРЕСА в их mtgox профиле. если они неверны, они должны изменить свой адрес + пароль

18 июня 2011, 2:01:36 AM	# 2
mizerydearia Сообщения: 574 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Получил 1806 Биткоинов Реальная история. Лик хирург общего предупреждение? Код: Bitcoin ПРЕДУПРЕЖДЕНИЕ ГЛАВНОГО: Торговая Bitcoins Причины ____ ______, _____ _______, _________ и может осложнять ________.

18 июня 2011, 2:04:42 AM	# 3
phantomcircuit Сообщения: 463 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Я должен упомянуть, что это уязвимость CSRF. чтобы люди знали, что делать, чтобы защитить себя.

18 июня 2011, 2:05:01 AM	# 4
ibisy70 Сообщений: 70 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Это имело бы смысл, мой счет был взломан, и единственными местами, которые я использовал мой пароль был mtgox, tradehill и deepbit.

18 июня 2011, 2:06:28 AM	# 5
Все напрасно Сообщения: 2366 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Простите мое невежество, но бассейн слякоти была бы уязвим тоже? Это что-то Bitcoin платформы wide..ie с API,?

18 июня 2011, 2:09:15 AM	# 6
cypherdoc Сообщения: 1764 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: phantomcircuit от 18 июня 2011 года, 2:04:42 AM Я должен упомянуть, что это уязвимость CSRF. чтобы люди знали, что делать, чтобы защитить себя. что CSRF?

18 июня 2011, 2:10:37 AM	# 7
mizerydearia Сообщения: 574 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: cypherdoc от 18 июня 2011 года, 2:09:15 AM что CSRF? Cross-Site Request Подделка

18 июня 2011, 2:11:10 AM	# 8
Astrohacker Сообщения: 156 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: allinvain 18 июня 2011, 02:06:28 AM Простите мое невежество, но бассейн слякоти была бы уязвим тоже? Это что-то Bitcoin платформы wide..ie с API,? Возможно. Это общая проблема безопасности многих сайтов есть.

18 июня 2011, 2:15:27 AM	# 9
Винс Торрес Сообщения: 337 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Tradehill не имеет никаких сообщений о взломе. Если сообщения о нарушении безопасности Mtgox верно, я предполагаю, что они будут ликвидировать их БТД. Будьте осторожны в ближайшие недели и месяцы.

18 июня 2011, 2:15:48 AM	# 10
Адам Сообщения: 238 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: phantomcircuit от 18 июня 2011 года, 1:58:48 AM Я определил эксплойт в MtGox позволяет злоумышленнику полностью взять на себя внимание некоторые пользователи. Я пытался связаться с MagicalTux в течение нескольких часов, но я чувствую, что общее предупреждение должно выйти пользователь. Все темы про счета MtGox взлома реальны. Надежный пароль не поможет. Антивирусное программное обеспечение Вирус НЕ ПОМОЖЕТ ВАМ. Это не троян или вирус. Вы можете защитить себя, только посетив MtGox, а затем сразу же выходить из системы. кажется Полчища панических людей, которые будут бежать Mt. GOx по неизвестной причине. Профессор, не зная точно, что опасность есть, вы бы сказать, что это время для наших зрителей, чтобы взломать головы друг друга открытыми и пир на слизи внутри?

18 июня 2011, 2:19:45 AM	# 11
KGO Сообщения: 549 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Так что это означает ... Если вы идете на другой сайт с эксплойт, а вы вошли в mtgox, этот сайт может выполнять операции на Вашем счете mtgox. Чтобы защитить себя, использовать отдельный браузер для mtgox ТОЛЬКО. Если вы обычно используете Firefox, установить хром и использовать его для mtgox. Если вы используете хром, установите Firefox. Если вы используете и установите отдельную копию Firefox портативный если вы на окнах.

18 июня 2011, 2:23:31 AM	# 12
Imperi Сообщения: 196 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Кстати на mtgox.com вы можете зарегистрировать имена, как " яблоко" с пространством спереди, отдельно от счета "яблоко", Может быть, это может привести к эксплойт.

18 июня 2011, 2:25:09 AM	# 13
Horkabork Сообщения: 140 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Я хочу добавить, что phantomcircuit является оп для #bitcoin на IRC, где другие люди подтвердили его. Так что не давайте его всего 15 сообщений на форуме здесь отговорить вас, как он говорить с властью.

18 июня 2011, 2:29:30 AM	# 14
Horkabork Сообщения: 140 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: КГО 18 июня 2011, 02:19:45 AM Так что это означает ... Если вы идете на другой сайт с эксплойт, а вы вошли в mtgox, этот сайт может выполнять операции на Вашем счете mtgox. Чтобы защитить себя, использовать отдельный браузер для mtgox ТОЛЬКО. Если вы обычно используете Firefox, установить хром и использовать его для mtgox. Если вы используете хром, установите Firefox. Если вы используете и установите отдельную копию Firefox портативный если вы на окнах. Там нет необходимости устанавливать совершенно отдельный браузер. Создайте новый профиль, только для Mt. GOx, и запустить его с помощью ярлыка, как это: firefox.exe -Р "NewProfileNameHere" -по-пульт После этого вы можете сделать то же самое для другого профиля и работать как в то же время, без взаимодействия.

18 июня 2011, 2:32:37 AM	# 15
KGO Сообщения: 549 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: Horkabork от 18 июня 2011 года, 2:29:30 AM Цитата: КГО 18 июня 2011, 02:19:45 AM Так что это означает ... Если вы идете на другой сайт с эксплойт, а вы вошли в mtgox, этот сайт может выполнять операции на Вашем счете mtgox. Чтобы защитить себя, использовать отдельный браузер для mtgox ТОЛЬКО. Если вы обычно используете Firefox, установить хром и использовать его для mtgox. Если вы используете хром, установите Firefox. Если вы используете и установите отдельную копию Firefox портативный если вы на окнах. Там нет необходимости устанавливать совершенно отдельный браузер. Создайте новый профиль, только для Mt. GOx, и запустить его с помощью ярлыка, как это: firefox.exe -Р "NewProfileNameHere" -по-пульт После этого вы можете сделать то же самое для другого профиля и работать как в то же время, без взаимодействия. Да, это будет работать. Я пытался обеспечить простое решение для людей, которые не технари.

18 июня 2011, 2:42:46 AM	# 16
Ледяной- Сообщений: 28 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Таким образом, они принимают мое печенье? NOZ!

18 июня 2011, 2:44:50 AM	# 17
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Я независимо друг от друга подтвердили, что MtGox имеет vuln ГИГАНТСКИЙ CSRF, который позволяет мне опустошить ваш счет. MagicalTux, вы должны знать лучше, чем это. Честно.

18 июня 2011, 2:47:02 AM	# 18
Imperi Сообщения: 196 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: Icy- от 18 июня 2011 года, 2:42:46 AM Таким образом, они принимают мое печенье? NOZ! В основном, когда вы посещаете их сайт, они тайно загрузить IFRAME, который содержит mtgox.com. URL из Iframe указывает на отверстие XSS, который впрыскивает Javascript для отправки document.cookie (который хранит ваши данные сеанса) на сайте они есть. Затем они могут поместить данные куки в браузере, и принять сеанс и войти в mtgox. Я не знаю, что это специфическое эксплуатируют, но это, как он вообще работает.

18 июня 2011, 2:48:26 AM	# 19
отверстие в бочке Сообщений: 64 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Не уверен, если это уместно, но я заметил, что TradeHill не автоматически завершает сеанс после определенного периода бездействия. Я заметил, что однажды утром, когда я прыгал на моем компьютере, я не должен войти в систему - я до сих пор вошли в систему с ночи.

18 июня 2011, 2:54:11 AM	# 20
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Отчеты MtGox взлома реальны (Fixed) Цитата: Imperi от 18 июня 2011 года, 2:47:02 AM Цитата: Icy- от 18 июня 2011 года, 2:42:46 AM Таким образом, они принимают мое печенье? NOZ! В основном, когда вы посещаете их сайт, они тайно загрузить IFRAME, который содержит mtgox.com. URL из Iframe указывает на отверстие XSS, который впрыскивает Javascript для отправки document.cookie (который хранит ваши данные сеанса) на сайте они есть. Затем они могут поместить данные куки в браузере, и принять сеанс и войти в mtgox. Я не знаю, что это специфическое эксплуатируют, но это, как он вообще работает. Nope.avi. CSRF! = XSS. XSS = кладу JavaScript на сайте CSRF = поставить форму на моем сайте, публикующие на ваш сайт, для дополнительного удовольствия автоматически отправить его с JavaScript

Заголовок