Взлом аккаунта Yobit, подозреваю админов

Меня зовут Зеленцов Юрий, я владелец аккаунта hr-bank на бирже Yobit.

Группа инвесторов, которую я представляю, столкнулась со следующей проблемой.

В декабре 2017 г. нас привлек проект EthereumLite (ELITE) на базе Ethereum (ERC-20) и его развитие Atlantis изложенный в белой книге проекта. Данный проект показался нам весьма перспективным.

Меня наняли как трейдера для формирования пула токенов. Cдекабря 2017 г. мы приступили к его формированию. До последнего дня мы занимались скупкой ELITE, продавать которую мы не собирались в обозримом будущем. Мы считаем, что это долгосрочные инвестиции, а не спекулятивный актив. Таким образом мы стали владельцами существенного пула в размере более 420.000 монет (42% эмиссии). Мы держали их на бирже, так как полагали, что вывод такой существенной суммы может негативно повлиять на листинг монеты и ее оборачиваемость и создаст дополнительные угрозы проекту, чего мы совсем не желали. Тем более, биржа публично гарантировала защищенность и неуязвимость активов, находящихся на биржевых кошельках.

Помимо этой монеты были еще активы и в других, а также просто пока нераспределенные деньги.

Скан имеющихся активов прилагается:




В ходе работы мы каждые 3-4 часа мониторили аккаунт, даже если и не совершали каких-либо активных операций. Однако, 22.07.2019 я обнаружил, что у меня нет доступа к аккаунту на площадке. При обращении в support биржи я получил ответ, что с аккаунтом все в порядке:



В это же время по сводкам я заметил, что что на бирже прошла разовая продажа, которая по объему совпадает с моим пулом. Это меня взволновало, так как такого объема продаж ни разу не наблюдалось с момента нашего присутствия на бирже, тем более - разовой продажи. Не было никогда и ордеров на такой объем. Излишне говорить, что курс этой сделки был ничтожен. Через краткое время существенный объем (100.000) был выставлен на продажу по уже курсу, близкому к реальному на тот момент:



С самого начала я стал подозревать, что мой аккаунт взломан, хотя я не получал никаких писем ни о коде авторизации, ни об успешном входе в аккаунт, что обычная практика при логине с нетипичного для данного аккаунта IPадреса.

Об этом я уведомил техподдержку биржи незамедлительно. Но ответа я не получил, равно как и на мои последующие повторные постоянные обращения.

Таким образом я считаю, что администрация данного сайта в сговоре с мошенниками, всячески их покрывает и им способствует. То есть, сами являются мошенниками.

Вопрос вам как к разработчикам платформы.

1. Есть ли у кого прямые адреса администрации/владельцев сайта?

2. Может ли кто подсказать, как еще воздействовать на администрацию для разрешения данного вопроса?

Мой адрес для связи: [email protected]

С уважением

 

Только в чате ловить (с другого ака) либо ждать ответа сапорта, как продали понятно, ливанули и все, цена и до шла до такой низкой. 2фа включена и что пишет то когда не пускает? Ну и как вариант, мне когда ломали, хакерюга доступ к почте имел и письма тёр, повезло в тот момент я сам в почте сидел и уведел что с yobitaписьма пропадают.

 

Двойная авторизация есть. Наверное, излишне говорить, что не сработала. К почтовому ящику доступ был и есть. Не было "левых входов". Письма не терлись - связывался с админом почты. Ждать ответа сапорта - на 6 обращений не ответили, видимо, и не ответят.

Почему вижу сговор:
Самое главное - никакой реакции от сайта.
На etherscan.io нет транзакций, монета на бирже. Однако, операции не заблокированы.
В развороте стоят явно монеты из моего пула. Тем более - очень странное совпадение - как только начался слив монеты, то кто-то (понятно, кто) подсуетился с ордером на покупку.
Расследование, которое могли провести вчера все бы быстренько выявило. Однако его нет и, видимо, не будет.

Воздействую еще и по другим каналам.

Админам спасибо и поклон за перенос в отдельную ветку.

 

Ну так что сброс то работает? Пишет хоть что нибудь?

Надо и на почту двойну ставить,

 

Нет, тоже не работает. С самого начала.
На почте уведомления о входе с другого IP на почту форвардятся на другой ящик.

 

Спасибо за обратную связь. Она мне поможет в работе по другим каналам.

М.б. еще нужны какие-то аргументы, какие у меня и есть, но я их считаю несущественным, а на самом деле - они важны?

АНтивирусник - Аваст, проверка раз в неделю, торянов и прочего не было. Браузер - яндекс, из плагинов - фригат, да адгвард (встроенный). Файрвол - встроенный Длинка (роутер), МТС (провайдер) и винды 10 (лицензионнка). Левые не ставлю по определению. Обновления своевременно.
На почту приходит ссылка на код авторизации и уведомление о входе в аккаунт. Их не было, удалены они быть не могли - активности на ящике не было - запрашивал мейл.ру по техподдержке, не было активной сессии мейла в это время (отключаю интернет на время сна).

Да, и еще - работал через фригат, так что по IP вычислить меня - ну ни разу я не олигарх...

 

как вариант фишинг был, если использовать плагины легко адрес подменить, тогда все ясно, ещё момент, можно в спорт написать и уточнить какая почта в аккаунта забита (но если пишут что все ок, видео не менялась).

 

В

Про фригейт не знаю, многие под ним работают и нареканий вроде как не было. Посерьезнее меня дяди...

А вот про "Возможен и такой вариант, что вас реально взломали а биржа решила воспользоваться ситуацией. Блокнули акк взломщика и ждут что вы забьете. Пишите в чате, пишите им в ЛС, пишите на форумах, максимальную движуху наводите." - то есть вор у вора дубинку украл. Что еще раз подтверждает аргумент про мошенничество админов.

 

Я тебя обрадую


На твоём аке ебит
На аккаунте включен холд-период (из-за смены пароля\отключения 2fa). Пожалуйста, подождите до 2019-07-26 00:37:18.

 

Теперь ясно почему, пароль не приходить, потому что почта российская

 

EMAIL СО ССЫЛКОЙ ОТПРАВЛЕН!
Для завершения процесса изменения пароля проверьте почту для получения дальнейших инструкций.

Почта [email protected]

 

Немного не понял, тебе удалось про акк посмотреть внутри?

На почту всегда все приходило. А тут враз такое изменение...

Да, письмо пришло, ссылка в нем битая:

 

За наводку спасибо. Посмотрел, подключусь.

 

Блин целый день пытали письма приходят или нет, молчал как партизан. Как именно битая, не чиго не открывает или все таки на сайт ебита переходит но но что то пишет? Просто уже была такая ситуация, пару раз, пароль слетал (а может криво вводил) и все сбрасывал ось.

 

Я сразу написал, что ответа на обращения нет:
"Об этом я уведомил техподдержку биржи незамедлительно. Но ответа я не получил, равно как и на мои последующие повторные постоянные обращения."
"Почему вижу сговор:
Самое главное - никакой реакции от сайта."

Сегодня в 1.00 пришло от них письмо с битой ссылкой - выложил выше.
Почему именно битая - на картинке - this link is explired, please try another link.

Еще момент - у них на торгах глючил сайт. Была проблема - ставишь ордер, сайт притормаживает и ставится не твой курс, а курс последней котировки. Автоматом нажимаешь - вуаля, купил/продал не по той цене, на которую ставил. Писал в саппорт - мне сразу же ответили из серии - сам дурак. Не спорю - внимательнее надо. Но я о другом - умыть пользователя, эо у них быстро. А тут такая пауза. Несколько странно, нет?

То что акк вскрыли, я уже не сомневаюсь. То что админы резко замолчали - симптом. Что дает мне сделать вывод о том, что админы покрывают этот момент, то есть соучаствуют. О чем и написал.

 

Ты её во сколько открыл там 30 минут что ли вре я потом пишет что уже не действительно.

Картинку не увидит, сори

 

Открыл в 6 утра, как встал. Время - возможно, только что это меняет. Как раз период блокировки вывода прошел.

 

упс этот момент я не продумал
Но мне кажется что то не так делаешь.

Сейчас там опять холод будет на 3 дня (на своём попробовал аккаунте, пишет до 29 числа) как время выйдет, пробуй ещё раз /забыл пароль/емаил/логин/капча и сразу на почту иди, если сегодня через 5 часов их система написала что время вышло то пасс смениш и в акк попадеш.

 

ВОзможно, я делал что-то не так в самом начале - руки тряслись, да и состояние внутреннее было - хуже не придумаешь. Несколько дискомфортно быть в роли жертвы мошенников (сарказм). Но вот пытаться это делать с разных браузеров (мозилла, опера, тор), после стертых куки да по десятку раз несколько подходов за день. После того, как больше года делал это. Наверное, перебор.
Тем более - если бы делал все время ошибки - молчание саппорта...

 

)))))

Лучше помоги вот с каким моментом - там блокировка идет только на фиат или и на монеты. Собираюсь сунуться в ХЕМ с этой темой. Были у меня и в нем монеты, но активности не было. Вывели раньше на холодный или только сейчас?

 

Скрины. С яндекса и с тора. Только что.


Скрины.

 

Млять логин hrbank лол


Иди на почту ссылка придёт, ты же пароль не сменил холда нету, чёт я сам туплю

 

Дело вкуса... Мне удобно.

 

Там блок на все три дня, хоть на киви хоть на карту, про хем не понял


Ну и как получилось зайти???

 

только деньги нельзя вывести или еще и монеты?

 

Всё нельзя, так каков результат?

Удалось пароль сменить, смотри время выйдет опять

 

Результат таков: никакого.

Да, справедливости ради:

Пришло письмо со ссылкой об изменении пароля. Зашел, попытался - введите код, письмо с генерированным кодом нет и до сих пор. Ссылку проверил - еще работает.
Какая есть версия?

 

Кстати, написал на форум ХЕМ, спросил могут ли они отследить мои транзакции и достаточно ли я дал информации, чтобы пометить монеты как украденные.

 

Про хем я не в курсе не пользовался ранее просто им


Перейди на по ссылке и за скринь плиз

Ты или не жмеш или я хз

 

Сделано.

 

При входе с другого IP присылали код в течение минуты. Пока не прислали вообще или я не так что-то делаю?

Но вообще-то прогресс, с понедельника это первая какая-то реакция.

 

Ну и заходи смотри чекаво

А с чего тебе должны прислать за ip, ты пароль меняеш через свой емаил и ф2а

Вот сейчас зайдеш по логин и паролю с другого IP тогда и пришлют

И мой совет, используй гугл почту отдельную (там то же авторизацию включи) майл он сцука ломается легко

 

ф2а генерился сайтом разово и присылась ссылка на код. Сейчас не пришла. Или я чего-то не понимаю?

 

У тебя на телефоне f2a не стоит разве??? 0.о

 

А код от ебиты ты сохраняешь гденить

 

Да, он есть. Не понял, так его надо вводить?

 

Ты

В акаунт вошол? Если у тебя в настройках ебит ф2а включён то вводиш при логин и пароли

Вводиш тот который в проге отображается на телефоне

А раньше то как заходил?

Ладно, напишешь, должно все получится.

 

Да, он есть, но у меня код подтверждения приходил ссылкой по почте.

В акк не вошел - ссылка уже не работает.

 

Хотя что это меняет, уже, полагаю, поздняк метаться. Примечательно, что какая-то активность началась через 3 дня.

 

Какая ещё ссылка? На смену пароля что ли?

 

да, она часовая.

 

У тебя там вс

Ты пароль поменял?

Почту смотри, пока не сменил пароля холда не будет

Открывай
Google Authenticator на телефоне

 

Код от ебита у меня другой - присылали. Видимо, все-таки эта приблуда у меня не была установлена, был разовый ключ на почту. Значит, при смене пароля спрашивают то, чего не существует. Как такое может быть?

У меня алгоритм захода был такой - логин, пароль, картинка. Нажимаешь отправить - появляется дополнительное поле кода доступа. На почту приходит письмо со ссылкой, переходишь, вводишь код доступа; в окошке входа, опять картинка - ты в аккаунте.

Даже если предположить, что почта взомана - я на почте постоянно нахожусь, заметил бы лишнюю активность. Не могло бы быть такое бесследно, если бы отвечали много раз. Приходили же автоответы, что мое обращение зарегистрировано. Так что ответ саппорта бы дошел.

Опять-таки почему какая-то активность началась только сегодня, когда прошло три дня.

Конечно, во многом я сам виноват. В первую очередь - почему не согнал все на холодные кошельки, зачем все держал на бирже. И еще весьма много вопросов к самому себе...

 

Это письмо смены ip видемо. После смены пароля, ты нажимал сохранить? И не сохраняло, правильно? У тебя на аккаунте Google f2a авторизация включена, через программу что выше писал, есть у тебя такая?

 

Ты за какую активность то?

А у тебя ip динамический или статичный?

 

Про вскрытую почту.

 

Вчем это выразилась то???

 

Доходили же уведомления об обращениях в службу поддержки.

 

Такие что ли???

Такие были ?

 

IP динамический, тем более - под VPN. Меняю достаточно часто переключением.

Нет, вот такое:


Я же тикет без аккаунта не могу на сайте поместить.

Так что обращение в службу поддержки через внешнюю форму.

Или я в чем-то туплю?

 

а не это норм, чем больше пишеш тем они болт забивают

 

А вот про код доступа - именно такие.

Про болт - в этом-то вся и проблема заключается.

 

тут ничего не включал? 100%?
про сто раньше ты писал мол есть я и не сомневался

 

Тут нет

 

пусть проверяет, если с мыла на другой уходили письма должны остаться там, то это эпик феил 100к зелени на балансе и без f2a

а это как выяснилось IP привязка

 

не там IP динамика, IP сменился биржа шлет ссылку мол подтвердите, а по ссылке код его вставляеш при авторизации))

Да как видно ни как к сожаление F2A включено, это надо акаунт создавать и в чатах ловить блек смита и у него просить что бы отключил, но не факт

 

Видимо да, путаюсь в показаниях. Не хватает тех грамотности. Согласен - глупый пингвин. Про двойную авторизацию - а код доступа туда не входит? Думал, что входит, вроде как логин и пароль - первая. Код доступа - вторая.

Именно так.

Письма не уходили.

 

не было такого...

 

Но следы-то должны были остаться... А их нет. Тем более, я как только заметил, что творится что-то странное, сразу написал в саппорт об этом:

 

Да, утром проверял

 

Уважаемые (реально) друзья. Нужно отойти на пару часов, так что вынужден буду замолчать. Но после - я здесь и обязательно отвечу на все вопросы.

 

Уходя спать я ставлю комп на спящий режим, он отключает роутер на компе, есть даже проблема - надо выдернуть свисток и вставить его при возврате. Как тогда они могли влезть в него?

 

Проверил еще раз - кроме тех, что установлены давным-давно (блокировщики рекламы и т.п.) нового за последние 2 месяца ничего не добавлено. Безопасность соединений включена на полную до DNSCrypt. Синхронизация с другими устройствами отключена. Процессов дополнительных вроде как нет, но как их достоверно проверить? Я смотрю через диспетчер.

Спасибо, но мне в самом деле надо бежать. После 16.00 (мск) я здесь.

 

Помимо встроенных (антишок, блокировка мешающей рекламы и блокировка флеш-данных) еще adguard и ghostery.
Вхожу строго через ВПН - без него сайт просто не открывается.

 

я вот не помню, у меня везде включено, но я такие уведомления сразу удаляю, поэтому не могу глянуть в почте, чтобы проверить.

 

Я вот еще о чем подумал. Ну ладно, они подключились к моей сессии. Так взяли бы все от моего имени и слили бы. Аккаунт открыт и доступен. Никаких лишних логов нет. Фактически, с точки зрения биржи, все операции проводил я и доказать обратное я бы уже никак не смог. Формально - сам все сделал.

А тут такой пилотаж - замена паролей и изменение способа входа, смысл всех этих телодвижений? Думали, что не смогу доказать свою принадлежность и прочая?

С точки зрения житейской логики абсурд какой-то.

 

смысл как раз не дать владельцу войти, а это сразу делает его как бы и не владельцем, твой акк теперь тебе не принадлежит по сути, они им распоряжаются. Для того это и было сделано.

 

Но есть скрины, есть ответ с саппорта. есть и другие аргументы. Или такого они как раз и не ожидали?

 

я думаю эти ребятки не в первый раз подобное проворачивают, так что ожидать могут многого.

Могут быть и в сговоре с кем-то из админов биржи, тут не докажешь. Остается только пинать саппорт по всем каналам, чтобы прояснить ситуацию и доказать что аккаунт твой. Потому что по факту для биржи ты сейчас ну кто? ну есть у тебя скрины, и что? где ты их взял? доступ проебан, а бирже пофигу кто рулит акком, у них же верификации нет. Они вынуждены будут тебе на слово поверить фактически. Поэтому чем больше доказательств ты предъявишь, типа история ввода-вывода, когда и сколько, и т.д. - тем вернее для них будет, что ты все-таки прежний владелец. Но по факту таких как ты у них десятки человек, и они могут тупо не успевать разбираться с этим, да и вообще не приоритет такие случаи для них могут быть. Такой вот йобит, свои издержки у каждой конторы. У них такие. Удачи с восстановлением доступа.

 

Это все есть, когда, сколько, через какую систему был ввод денег, с каких карт (в т.ч. и моей) были платежи, что на эти деньги покупалось, по какому курсу и когда. СЛовом, вся абсолютно история. Кстати, согнал все это на флешку и отложил в сторону.

А сговор в том, что мои сообщения полностью игнорируются. То есть, совершенно.

 

Это не сговор, почитай на биткоинталке, люди месяцами ждут и иногда дожидаются

 

Я тут поспал, потом вот кофе попил, покурил и меня прям озарило:
1. На mail.ru (а ящик inbox.ru) ни каких особых защит нет, заходи кто хочет, бери кто хочет. Попасть на него имея coocies жертвы, не представляет сложности.

2. Потерять куки от сессии на mail. ru проще простого, подхватил тот же криптованый Zeus (он конечно старенький, но это так к примеру), опять же закинуть троян жертве можно через какой нибудь сайт с помощью скрипта (все же помнят истории о заражение того же Microsoft.com и распростроняемых с него зловредов).

3. Далее дело техники, зайти на ебит, сбросить пароль, врубить 2fa, что бы клиент не мешался под ногами, зайти на почту, за тереть следы.

4. Скинуть крипту через ордера (ебит кодами, но это палево).

5. Профит.

Зы: если че это размышления в слух и механизм кражи мог быть другим.

 

узнал я у модера в ебите как 2fa отрубить

https://yobit.net/en/2faoff/

заполняй все поля, вкратце в коменте напиши мол ранее не было включено пользовался только привязкой по ip
(несколько последних IP адресов из писем приложи с каких заходил)
должны отключить

 

1. Спасибо за наводку. А если не сохранились адреса, их чем-то можно заменить?
2. Если это не слишком хамская просьба - можешь помочь при заполнении всех этих вещей, а то тут я уже как-то совсем не копенгаген (по скайпу демонстрация экрана). Если да - моя почта есть, там можно обменяться адресами скайпа)?

 

скайпа нет, ватсап, телеграм?

письма стер что ли? с потверждением IP

 

Ватсап. Только как там экран демонстрировать? Или есть какая-то приблуда?
Письма увы, да, стер.

 

ну ладно с письмами ясно, но там же все понятно, для чего экран демонстрировать?
по поводу IP, в коменте пишеш мол так и так IP динамический а в графе IP адреса текущий указываеш

 

В принципе, да.

При долгом стрессе мозги буксуют...

 

на почте mail.ru тоже можно 2фа включить же.

 

То ли лыжи не едут, то ли я ебанутый, не увидел, зато у них айска есть

 

в настройках самой почты 2фа включается, в разделе безопасность.

аську они ж давно купили, на излете популярности )) гребли под себя все что мало-мальски известно.

 

да, общего много )) совочек так просто не убъешь, особенно эти приколы со слежкой и установкой разного говна в довесок. Генетика, ендель ))

 

Последние новости: никаких.
Моя заявка на снять F2A до сих пор нет ответа.
Проверял снятие пароля - нет, все на месте.

 

так чего вообще не ответили? Остаеться ожидать. Только не пиши им больше, как в свое время варден (это модер) чем больше пишешь по одной и той же проблеме тем дольше отвечают.