Durante o fim de semana da Páscoa, a equipe LocalBitcoins atualizou seu blog com os resultados de sua investigação sobre as perdas relatadas da Bitcoin Exchange, como Relatamos anteriormente. Todos, exceto um dos incidentes de roubo, aparentemente foram de contas que não usavam autenticação de 2 fatores, seguidas de uma explicação de vulnerabilidade para a conta autenticada de 2 fatores que sofreu roubo.
O usuário que teve autenticação de 2 fatores, "DON4OF4", foi o mesmo que quem reclamou no Reddit e no Fórum LocalBitCoins sobre o roubo. Nesse caso, o LocalBitCoins entrou em detalhes do padrão de comportamento do usuário.
“No caso do Usuário Don4of4, o seguinte foi o que aconteceu.
-
- 21. Março de 2014, o usuário ativa sua conta de usuário
- 21. Março de 2014, o usuário realiza uma série de negociações, usando um navegador de desktop
- 16. Abril de 2014, o usuário realiza uma série de negociações, usando um navegador de desktop
- 17 de abril de 2014 03:52, o usuário ativa a autenticação de dois fatores, usando o navegador de desktop
- 17 de abril de 2014 12:40, o usuário faz seu primeiro login de dois fatores usando um dispositivo Android
- 17 de abril de 2014 15:45, o usuário Bitcoins é transferido usando os códigos de dois fatores e a sessão de login que o usuário abriu anteriormente. Essa solicitação veio de um navegador TOR, em oposto ao dispositivo Android do usuário.
- 17 de abril de 2014 ~ 17: 00, o usuário posta para o Reddit alegando que a segurança do LocalBitCoins está comprometida
- 17 de abril de 2014 ~ 17: 00, o usuário abre um tíquete de suporte para resolver o incidente ”
Em termos simples, o ponto de vulnerabilidade de Don4of4 parece ter sido seu telefone Android. Enquanto o telefone estava sendo usado como o token físico de autenticação de 2 fatores, ele também havia sido usado como o último dispositivo a fazer login em LocalBitCoins com também. Que negaram o benefício da autenticação de 2 fatores que o mesmo dispositivo físico estava sendo usado para fornecer todos os métodos de autenticação.
LocalBitCoins adicionado:
“O usuário admitiu armazenar seus códigos de dois fatores no dispositivo Android. Nesse caso, se o usuário usasse esse dispositivo Android específico para acessar o LocalBitCoins e o dispositivo foi comprometido, o invasor obteve acesso à senha do usuário, ID da sessão do usuário e códigos de dois fatores. Além disso, foi relatado no Reddit que as credenciais desse usuário em particular foram encontradas em listas de contas de usuário comprometidas conhecidas na Internet. ”
Por sua vez, isso levanta uma questão mais ampla sobre qual era a vulnerabilidade no dispositivo Android desse usuário? Como isso pode afetar a base de usuário mais ampla do Android?
Para aqueles que usam regularmente o LocalBitCoins em seu telefone, a LocalBitCoins emitiu este conselho:
“Se for necessário operar o site Localbicoins a partir de um telefone celular, o LocalBitCoins oferece uma autenticação de dois fatores baseada em códigos de papel, baseada em senhas impressas. Mesmo que o dispositivo móvel esteja comprometido, o invasor não pode obter acesso ao papel impresso físico. ”
A LocalBitCoins afirmou em seu blog que monitora o comportamento do endereço IP de cada conta de usuário e consulta logins de locais anômalos. No entanto, se a conta de usuário não tiver autenticação de 2 fatores e uma senha correta será fornecida, o LocalBitCoins diz que não há nada que ela possa fazer e, portanto, os usuários devem ativar a autenticação de 2 fatores.
