步步惊心！Coinbase帐户是如何被黑的？ | 巴比特
步步惊心！Coinbase帐户是如何被黑的？
日 早，Partap Davis 发现自己3000美金被盗。前一天晚上，他大概12点睡觉，一晚上，黑客将他设置的所有安全防护全部攻破。黑客仅仅在他睡着时就将 Davis 大部分线上生活破坏掉了：两个 email 账户，手机，Twitter， 二因素身份验证，以及最重要的东西——比特币钱包。
Davis 非常谨慎，他的密码都是强口令，从不点击虚假链接。对于 Gmial 邮箱等服务，他使用二因素身份验证保证邮箱安全，所以当他从其他电脑登录邮箱时，必须输入手机短信验证中的6位数字密码。他利用比特币赚了一些钱，并将这些比特币放入了三个受保护钱包中，三个钱包分别是：Coinbase, Bitstamp 和 BTC-E。Davis也对 Coinbase 和 BTC-E 使用二因素身份验证保证账户安全。只要他想登录这些账户，他就必须使用二因素身份验证APP进行身份验证。
除了比特币这部分内容，Davis在其他方面和普通用户并没有什么区别。Davis是个程序员，他将自己的时间用在编写视频教学软件和其他的一些琐碎工作上。他喜欢在周末去Los Alamos的斜坡上滑雪。这是他在Albuquerque的第十年，去年，他刚刚到了40岁。
在黑客攻击之后，Davis将整周用在了追踪攻击是如何发生的，把从登录账户和客户服务得到的信息进行拼接，得到了The verge。但是，我们仍然不知道这一切是如何实现的，也不知道黑客是谁。但是通过拼接信息，我们知道了这一切是如何实现的，也知道了我们数字生活中的一些弱点。
这一切是从Davis的邮箱开始的。当他第一次登录邮箱时，他发现已经被注册了，所以他选择使用Mail.com代替，设置了，这个更容易记忆。
10月21日凌晨2点之后，这个链接被破坏。有人闯进了Davis的mail.com账户，并停止继续攻击。突然，一个新的手机号码链接了这个账户——一个在Florida注册的安卓设备，同时还有一个新的备用email——，这是我们所知道的最能体现黑客个人信息的内容了。
我们将这种简单的攻击暂且称为Eve。
Eve是如何做到的？我们还不确定。但是貌似是它使用了脚本锁定Mail.com密码重置页面的弱点。我们知道，这种脚本是确实存在的。几个月以来， 一直有用户在黑客论坛上出售这种可以重置Mail.com特定用户密码的脚本。攻击Davis账户的脚本病毒是很老的版本，价格为每个账户5美金。我们还不是很清楚它是如何工作的，也不知道它是否还在使用，但是它确实是Eve所需要的。没有任何身份验证，它就可以将Davis的密码设置为自己的字符串口令。
Eve接下来的步骤是掌握Partap的电话号码。它没有Davis的AT&T密码，但是它可以假装忘记密码，然后利用收到的邮件中链接重置密码。Eve要求客户服务代表将Davis的号码呼叫转移到Long Beach的号码。严格来讲，客户服务部门应该加强呼叫转移的安全性，使用更多的验证信息，而不是只有一封邮件。但是面对这种很烦生气的顾客，客服经常让步，顾客满意度总比安全性重要。
一旦呼叫转移完成后，Davis所有的语音电话都可以转接到Eve手中。Davies仍然可以收到短信和email，但是每个电话直接到了攻击者那里。Davis直到两天后才有所察觉，因为他老板抱怨说他没有接电话。
GOOGLE AND AUTHY
接下来，Eve瞄准了Davis的谷歌帐号。专家讲告诉你二因素身份验证是最好的防黑客攻击的的保护措施。一个黑客可能得到你的密码，一个小偷可能会偷走你的手机，但是很难做到二者兼顾。手机是个拥有独立系统的物理硬件，但是人们一直想要取代手机，并且希望把所有的服务都取代掉。账户必须每天重置，而两因素服务最后看起来更像是还有一个账户需要攻击。
Davis并没有设置谷歌身份验证APP的安全选项，但是他已经有了两因素身份验证。每次他用新的电脑登录时，谷歌都给他发送确认码以确认身份。呼叫转移没有办法获得Davis的短信，但是Eve有后门：多亏了谷歌强大的功能，它可以申请通过呼叫转移接受语音确认码。
Authy应该是很难攻击的。它是一个类似于Authenticator(身份认证)的APP，并且从未离开过Davis的手机。但是Eve通过mail.com和通过语音接收的新的确认码，很容易的就在自己的手机上重置了Authy。刚过凌晨三点，Authy账户就被Eve掌控了。
Eve用同样的伎俩欺骗了谷歌：只要他有了Davis的email和手机，两因素验证就无法使用。在这点上，Eve比Davis更容易控制他的线上生活。Eve已经掌握了Davis除短信外所有的数字生活。
3点19分，Eve重置了Davis的Coinbase账户，使用的就是Authy和Mail.com。3点55分，Eve转走了Davis账户中的全部余额（约3600美金）。他分别在30分钟、20分钟和5分钟后分三批将这笔钱转走。之后，这笔钱就在空巢账户中消失了。我们也无法知道他的行踪。从入侵Davis的邮箱帐号到钱被盗，黑客仅仅用了一个半小时。
Authy可能知道出事了。所以客服对所有可疑行为进行严密监视，虽然他们的监控非常谨慎，重置到州外的账户都会被标记出来。但是对于诈骗中心俄罗斯和乌克兰，这样的标记非常多，所以无法紧密监视Eve。但是Eve登录Coinbase的IP更可能来自于加拿大，他们是否会阻止他呢？现代安全系统，例如谷歌的ReCAPTCHA，经常进行类似的工作，得到足够的证据后，将账户冻结。但是Coinbase和Authy得到的证据并不完全，不足以冻结Partap的账户。
BTC-E和BITSTAMP
当Davis醒来时，他首先注意到的是Gmail账户莫名其妙的登出。密码被修改了，他无法重新登录账户。当他重新进入账户后受到了严重的打击：coinbase账户是空的，钱都被转走了；电子邮箱被盗；所有的客服部门没法确认他的身份信息。
其他两个钱包怎么样了呢？有价值2500美金的比特币在里面。Coinbase账户并没有广告保护。但是当Davis检查这两个账户时，发现这两个账户仍然完好无损。BTC-E用重置密码后48小时来让用户证明身份并恢复账户。BITSTAMP有更简单的保护措施：当Eve重置Davis的密码时，它要求Eve出示驾照图片。尽管Eve已经得到了所有信息，但是仍然有他没得到的信息。Davis剩下的2500美金的比特币是非常安全的。
从攻击开始到现在2个月了，Davis回归了自己的生活。黑客最后入侵的是Davis的推特帐号，发现的最后的黑客踪迹是推特账户。推特账户持续被黑了几个星期，Eve插入了新的图片，并抹除了Davis的所有痕迹。攻击后的几天，他贴出了一张攻击Xfinity账户的图片，标签了另一个操作。这个账户并不属于Davis，属于另一个人。他已经攻击另一个目标了，使用的是@Partap的身份。
谁才是背后的攻击者? Davis花费几个星期追踪他，浪费整个下午的时间给客服打电话，但是没有得到任何有效信息。根据账户记录，Eve的IP地址在加拿大，但是他可能使用Torhuozhe VPN掩盖踪迹。他的电话号码实在Long Beach，安卓手机来自加利福尼亚，并且他的手机极有可能是一次性的。所以，我们只能得到很少的信息，毫无踪迹可寻，任凭Eve带着钱远走高飞了。
Eve为什么选择Partap Davis? 因为他知道钱包的一些信息。为什么他要花费那么多时间挖通账户？在最开始时先攻击邮箱账户，因此我们可以设想，他在某种场合下载Bitcoin的用户列表上发现了Davis的名字。也可能在设备供应商或者比特币零售商那里找到了Davis的名字。信息泄露是很常见的现象。
Davis现在更加谨慎，他放弃使用Mail.com的邮箱地址，他的生活有了很大的改变。Coinbase拒绝了Davis的赔偿请求，因为他们认为公司的安全措施没有漏洞。于是Davis写信给没有联邦调查局，但是FBI对这个案子并不感兴趣。他还不停的用电话等方式重置账户。这个世界其实并不安全，黑客攻击无孔不入，网络越发达，就越难维护账户安全。
最重要的是，重置密码非常容易。Eve一次又一次的利用这个漏洞进行攻击。一个并不复杂的算法最终阻止了Eve的入侵：一个让顾客等待48小时确认身份信息的服务。在技术层面上，这是一个很简单的操作，但是成本高昂。公司其实非常不容易：不断的向用户妥协，方便用户使用，还要让利益风险小。一些人的账户可能被盗，但是上百万的用户可以继续使用没有服务问题的账户。在安全和便利的斗争中，安全是武器。
您需要登录后才可以回复
//@不卖自萌VV酱:看起来弱点在email 上，而且email被重置不需要原密码，是服务商的缺陷。所以解决问题的办法是1，不用不靠谱的邮件服务（比如中国的）2，可以使用特殊的手段：用自己的域名注册mail作为密码重置途径，然后解挂MX记录，等需要重置密码时再重新上MX记录。（不过这个太变态了，我都不常用
@有道云笔记收藏
回复@行者止步:我可以证明，中国联通北京号码就可以了！有服务密码，进网站，设置呼转就OK，手机没任何提示！
看起来弱点在email 上，而且email被重置不需要原密码，是服务商的缺陷。所以解决问题的办法是1，不用不靠谱的邮件服务（比如中国的）2，可以使用特殊的手段：用自己的域名注册mail作为密码重置途径，然后解挂MX记录，等需要重置密码时再重新上MX记录。（不过这个太变态了，我都不常用）
初见你时你给我你的心，里面是一个春天的早晨。再见你是骂你给我你的话，说不出的是炙热的火夏。三次见你你给我你的手，里面藏着个落叶的深秋。最后见你是我做的短梦，梦里有你还有一群冬风。——邵洵美《季候》
小马甲账户是防范黑客目光的第一道防线。~~~
回复@行者止步::提醒的好。否则移动服务密码被破解就危险了。必须要绑定authy
回复@行者止步:我靠，河南移动服务密码居然只能6位数字！而且登陆也是它！
回复@行者止步:看来要换个复杂点的手机服务密码了！
回复@诺赢千里:刚刚测试过 有中国移动手机网站登录密码+服务密码就可以开通呼叫转移 号码随便写 没绑定authy的同学要小心了
回复@zwh888666:刚刚测试过 有手机网站登录密码+服务密码就可以开通呼叫转移 号码随便写 没绑定authy的同学要小心了
回复@梦想与现实2012思考中: 非常感谢您的建议哈 [握手]
如果比太和交易所合作能够做到既挂单又不彻底失去控制 肯定能吸引很多用户。：）
回复@梦想与现实2012思考中:[可爱]
是放在交易所挂单的。
回复@铝合金地球人: 历史上放别人那里丢的币更多哈，不是一个数量级哒 [偷笑]
[泪流满面]自己放很容易丢。。。。
在这段感情里 你付出了多少
挺关键的一环是手机可以被别人异地呼叫转移。这个国内好像做不到吧
值得一看。//@姜家志:[疑问]//@比太钱包:把比特币放在别人那里，还是比特币吗[疑问]
[疑问]//@比太钱包:把比特币放在别人那里，还是比特币吗[疑问]
[思考]//@i问号: 注册登录，绑定邮箱、手机、谷歌二次验证，出示驾照图片、身份证明，甚至要求拍照上传，这真比私钥的学习成本更低吗？真比自己管理比特币更安全吗？//@比太钱包:把比特币放在别人那里，还是比特币吗[疑问]
注册登录，绑定邮箱、手机、谷歌二次验证，出示驾照图片、身份证明，甚至要求拍照上传，这真比私钥的学习成本更低吗？真比自己管理比特币更安全吗？//@比太钱包:把比特币放在别人那里，还是比特币吗[疑问]
//@宋辰文: [疑问] //@比太钱包: 把比特币放在别人那里，还是比特币吗[疑问]
[疑问] //@比太钱包: 把比特币放在别人那里，还是比特币吗[疑问]
把比特币放在别人那里，还是比特币吗[疑问]
但是Eve通过mail.com和通过语音接收的新的确认码，很容易的就在自己的手机上重置了Authy. AUTHY不是指谷歌二次验证软件吗？谷歌二次验证应该每个网站都不同啊，重置也只能一个个网站来啊? 在中国，用那种方式控制手机呼转不可能吧？必须身份证去营业厅或拿到手机发短信吧？
但是Eve通过mail.com和通过语音接收的新的确认码，很容易的就在自己的手机上重置了Authy.
AUTHY不是指谷歌二次验证软件吗？谷歌二次验证应该每个网站都不同啊，重置也只能一个个网站来啊?
在中国，用那种方式控制手机呼转不可能吧？必须身份证去营业厅或拿到手机发短信吧？
黑客通过AT&T客服完成呼叫转移那步算典型社工，提醒@中国移动10086 //@筋斗云windover:应该给人以选择：选择强安全和选择便利性。比特币也需要选择隐私性和安全性。
//@RippleChina: ripple网关厉害！！！
ripple网关厉害！！！
确实不应该很轻易就重置密码。@我的印象笔记
应该给人以选择：选择强安全和选择便利性。比特币也需要选择隐私性和安全性。qq钱包在哪？_百度知道
qq钱包在哪？
我有更好的答案
你点qq主界面 皮肤的空白处 打开 界面管理器 吧QQ钱包 点个对号 就可以看到了
采纳率：67%
额~~这个问题有点难了 你说的是财富通还是QB? 查QB 打开QQ 头像后边依次有五角星 信封 钱包 问号~~钱包就是那第3个了
楼主您好~！希望我的解答可以帮到您！ 鼠标右键打开界面管理器。 在界面管理器里添加QQ钱包。
如有帮助敬请选择已经解决问题并五星采纳· 仍有疑问请继续追问~谢谢！
在qq界面空间那行上
其他1条回答
为您推荐：
其他类似问题
您可能关注的内容
钱包的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。我在9.1用QQ钱包转账给别人，但是到今天都还没有到别人的QQ上，这是为什么？_百度知道
我在9.1用QQ钱包转账给别人，但是到今天都还没有到别人的QQ上，这是为什么？
我有更好的答案
不可能，QQ转账是即时到账的，只要你成功转过去了，马上就有的
采纳率：20%
为您推荐：
其他类似问题
钱包的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。32被浏览3,703分享邀请回答268 条评论分享收藏感谢收起4612 条评论分享收藏感谢收起32被浏览3,703分享邀请回答268 条评论分享收藏感谢收起