четверг, 9 февраля 2017 г.

Как с Epay воруют сатоши. Дыра в безопасности сервиса микроплатежей.

Все мы хорошо знакомы с сервисом микроплатежей Epay. Отличный сервис микроплатежей и в последнее время претерпел много положительных изменений. Но совершенству нет предела, и разработчики допустили дыру в безопасности, благодаря которой хакеры, могут своровать сатоши.




К нам недавно пришло пару писем с проблемой, что в какое то время при проверке баланса на Epay по кошельку, начинает просить логин и пароль, хотя ранее никакой регистрации там не проходили.
И с одним пользователем решили попробовать пройти восстановление и вот что выдала их система



Эту почту, владелец кошелька и аккаунта видит впервые.

Злоумышленник, зная адрес кошелька, прошёл регистрацию на своё имя, и верифицировал кошелёк на запрос службы поддержки Epay по СКРИНШОТУ, да, по обычному скриншоту там можно доказать принадлежность к платёжному инструменту. Далее он заходит в свой аккаунт, привязывает уже свой реальный биткоин адрес, и вуаля, заказываем выплату. 

То есть любой владелец крана, даже самого замученного на том же Epay, может нарисовать скриншотов (уверен, их СБ сверяет на глаз), проверить кошельки на наличие регистрации, и в случае её отсутствия, заявить, что это его кошелёк. 

Вывод: в срочном порядке проверяем аккаунты и проходим регистрацию на Epay. 
Под каждый кошелёк отдельный аккаунт. Если уже минималка на старом есть, то лучше заказать её вывод и сделать новый адрес, чтобы не мучаться с верификацией, ну как мы уже поняли, она не так и сложна.

Получается, я как владелец крана могу сейчас проверять кошельки на наличие регистраций и рисовать скриншоты для присвоения себе средств...