Sådan mister du $ 8 000 værdi af bitcoin på 15 minutter med Verizon og Coinbase.com

Det begynder med en sms fra Verizon

23:31

Hold da op. Inden for få sekunder ringer jeg til nummeret og får dette.

”Hej, velkommen til Verizon. Vores kontorer er nu lukket. Vores åbningstider er mellem 8 og 23:00 på hverdage ... ”

Jeg ringer igen og trykker gentagne gange på nul for at prøve at få en operatør. Ingen terninger. Et minut senere får jeg en kopi af tekstmeddelelse.

Jeg screenshot og tweet til Verizon Support.

Der går utroligt ængstelige minutter, når jeg forsøger at nå Verizon. Jeg googler “Verizon fraud fraud line” og søger efter et nummer, der skal ringes og får intet.

INGEN TELEFONNUMMER, DER SKAL FUNDES

23:37

23:38

23:40

23.41 - Gmail logger ud.

Jeg er helt i mørke.

23:42 - Coinbase-nulstilling af kodeord

Min session cookie sparker mig ikke ud endnu, så jeg ser dette i realtid.

23:34 - Bekræftelse af Coinbase-enhed

23.44 - 1.18 BTC sendt

23.45 - 70.96 LTC sendt

23.46 - 16.03 ETH sendt

Adios håber og drømmer fond - $ 8.000 + er væk på 15 minutter.

Hackeren slettede disse e-mails, men Google gendannede dem

Hvordan i alverden var jeg så blindsided?

Før vi begynder, er det værd at nævne, at ja, yesssssssssssssssssssss, jeg havde ikke nok beskyttelse omkring min Gmail-konto. Jeg har brugt Google Authenticator før, til min personlige konto og til forskellige arbejds-e-mails, men jeg stoppede med at bruge den på et bestemt punkt af bekvemmelighed. Jeg beklager dybt, at du gør det, og du kan helt sikkert sige, "HA, DU HAR DETTE KOMMER TIL DU DUDE, MITT BITCOIN ER PÅ EN BESKYTTET TOMBIL I EN HEMMELIG UNDERGROUND LOCKBOX KULD OPBEVARINGSFACILITET." Men der er mange møntskuere derude med en lignende sårbarhed, og som flere nybegyndere tilslutter sig, vil denne sårbarhed kun blive et mere problem.

Af alle de ting, der gik ned i de faktorer, der fører til dette hack, er Verizon Wireless, hvad jeg var massivt uforberedt på. Efter at have talt meget med kundeservicerepræsentanterne, lærte jeg, at hackeren ikke havde brug for at give dem mit pinkode eller mit personnummer og var i stand til at få godkendelse til overtagelse af mit mobiltelefonnummer med enkle faktureringsoplysninger. Dette blæste i mit sind og syntes uagtsom over enhver mulig grund, men det er, hvad de gør. Den vigtigste ting, der ramte mig ved hacket, var den ekstraktionshastighed, der var mulig i det nuværende cryptocurrency-økosystem. $ 8.000 på 15 minutter er hurtigere og mere indbringende end at røver en forstæderbank.

Hvorfor jeg blev målrettet

Den bedste arbejdsteori for hvorfor jeg blev målrettet var denne tweet, jeg lavede i sidste uge om Coinbase.com. En ven af ​​en ven blev hacket på Coinbase, og han havde ikke hørt tilbage fra nogen på Coinbases supportteam i flere dage. Som bede om hjælp bad han folk om at hjælpe med at få ordet ud på Twitter. Det gjorde jeg, det fik en flok, og til min utrolige naivitet havde jeg ingen anelse om, at jeg i bund og grund festede et "Rob me too" -skilt på ryggen.

Og nu, her er jeg. Jeg forsøgte at hjælpe nogen med at få Coinbase opmærksomhed for svindel, jeg blev skruet fast, og nu prøver jeg at få Coinbase.com opmærksomhed for svig. Den officielle Coinbase Support-twitter har svaret en gang, derefter sendt en bot med en afsløring af, at det kunne gå uger, før jeg får et enkelt svar på mit spørgsmål.

Fortvivlelse

Jeg har aldrig mistet penge overalt i nærheden af ​​denne skala før. Jeg voksede op i en familie, der er særlig konservativ når det kommer til penge, og dette rammer på et følelsesmæssigt niveau, som det er svært at ryste. Som mange ved jeg, at der er masser af risici, når det kommer til cryptocurrency, det er en gamble, men den ene ting, du ikke forventer at ske, er at blive røvet på få sekunder på et websted med et renere brugergrænsefladesign end Chase Bank .

Jeg aner ikke, om jeg er i stand til at inddrive nogen af ​​disse penge, men jeg regner med, at den ene ting, jeg kan gøre med denne følelse af vrede / tristhed, er at prøve at pakke ud sårbarhederne, så andre bliver mindre skruede.

Ting Verizon Wireless kan gøre

  • Tilføj yderligere lag af kontrol til enhver person, der ringer til og anmoder om at 'bytte telefoner'. Generelle faktureringsoplysninger var tilstrækkelige til at overføre mit nummer, og jeg fik glæde af dette. Det er sindssygt, at Verizon og andre trådløse virksomheder ikke har gjort en reel indsats for at imødegå dette hack og endnu mere skøre, at de ikke er sagsøgt for grov uagtsomhed.
  • Gør presserende tekstalarmer handlingsfulde via SMS. Hvis jeg modtog den originale advarsel og kunne sende et svar, der stopper det eller endda forsinkede det, ville hele dette hak stoppet i dets spor. I stedet fik jeg besked på at 'straks' ringe til et nummer til Verizon, at ingen var der for at svare.
  • Gør Verizon Bedrageri-hotline tilgængelig og synlig for dine kunder. Det tog 45 minutter med irriterende Twitter DMing, før jeg var i stand til at få det nummer, jeg havde brug for, for at kontakte en rigtig person på Verizon. For alle, der søger efter dette i fremtiden, er tallet 1- (888) 483–7200.
  • Fortæl din kunde, hvad der skete med deres konto. Jeg tilbragte et par timer med Verizon-support, der blev hoppet fra svigafdelingen til den juridiske afdeling til forbrugerstøtteafdelingen. Jeg fik meget lidt fra nogen, de ville ikke frigive detaljer om opkaldet, medmindre jeg hyrede en advokat til at repræsentere mig.

Ting Coinbase.com kan gøre

Kære Gud Coinbase. Hvor begynder vi endda.

  • Gør det muligt at aktivere Google Authenticator til et * krav * til opbevaring af mønter på Coinbase.com. SMS 2FA er ødelagt, men vildledende sikker, især til nye deltagere.
  • Gør dine kunder 24–7 bedrageri-hotline tilgængelig. Twitter og e-mail er ødelagte mekanismer til respons, når hastighed er essensen.
  • Begræns antallet af nye brugere, du accepterer på din udveksling markant, indtil du har supportressourcerne til at dække dem. Du opnåede 400.000 brugere på 30 dage, FIRE HUNDRE TUSENT, og mange af disse brugere er ekstremt nye inden for sikkerhed.
  • Sæt grundlæggende svigbeskyttelse på plads, når nogen logger på en konto på en ny enhed og derefter forsøger at likvidere en konto. En times forsinkelse kunne have stoppet dette hack i dens spor.
  • Lav standardtilstande til overførsel af mønt betydeligt mere paternalistisk for nye brugere.
  • Opret en forsikringspolice til personlige konti. Ja, denne politik vil være ekstremt sårbar over for svindel, men dette er din kernekompetence, find en måde.

Ting du kan gøre for at sikre dine mønter

I kølvandet på angrebet nåede jeg ud til venner med masser af erfaringer med cryptocurrency, og dette er deres tip.

  • Tal ikke om Bitcoin Club. Tal ikke offentligt online, med din rigtige identitet, om dine handler eller børser. Jeg ved, at det er for sent for nogle (bestemt for mig!), Og det burde ikke være sådan, men dette gør dig mindre af et mål. Selv hvis dine mønter er ordentligt sikret.
  • Hvis du vil skrive på reddit, twitter osv. Om cryptocurrency, skal du bruge et fjernet pseudonym.
  • Brug en separat, hemmelig e-mail til dine møntkonti, og send ikke alarmerne til din personlige e-mail-konto.
  • Brug 2FA - SMS tæller ikke. Jeg havde ingen idé om, hvor let Verizon og andre gør det for folk at skubbe din telefon med grundlæggende oplysninger inden for få minutter. Sørg for, at du bruger GAuth eller Authy eller noget andet, der understøtter TOTP-tokens; overvej en FIDO U2F-enhed også til din gmail-konto.
  • Hvis du insisterer på at forlade dine penge på coinbase.com, skal du opbevare dem i deres "hvælving". Dette giver dig en buffer på et par dage, før noget af dine ting kan røres, i det mindste vil det ikke være væk med det samme.
  • Ring til din mobiltelefonvirksomhed, og fortæl dem, at du sandsynligvis er målrettet mod social engineering. Anmod om mere kontrol for at fremsætte anmodninger.
  • Opbevar dine mønter på en fysisk tegnebog. Teknisk set er dine penge ikke en bytte - du har simpelthen en IOU fra modpartiet. Bedste praksis for at beskytte dine mønter er med en hardware-tegnebog som Ledger Nano S. Dette er kun $ 60 eller deromkring og betyder, at nogen bliver nødt til fysisk at indtaste en pin og bekræfte en transaktion eller stjæle dit backupfrø for at få adgang til dine midler.

Jeg opgiver ikke crypto

Jeg blev medlem af Coinbase.com i 2015, har haft forskellige positioner som BTC gennem årene og har set hype komme og gå. Jeg tror, ​​vi nærmer os et reelt bøjningspunkt med vedtagelse, men vi er på et farligt sted, da udgifterne til BTC / ETH-skyrockets og noobs rammer markedet.

Fire hundrede tusinde mennesker er tilmeldt Coinbase.com i de sidste tredive dage. Denne gruppe har meget forskellige sikkerhedsbehov og forventninger end de oprindelige 400.000, der tiltrådte Coinbase i 2012. Hvis denne nye gruppe ikke er beskyttet samlet, vil retssager flyve, økonomiske liv vil blive ødelagt, og drømmen om, at bitcoin til sidst vil ramme $ 50.000, vil blive en svag fantasi. Tjek Coinbase reddit, hvis du vil have en yderligere smag på, hvad der sker.

På trods af dette er jeg villig til at satse på, at Coinbase, eller en anden, vil udvikle sig markant og til sidst finde ud af det. Mange af de problemer, der fører til min hack på Coinbase, kan adresseres med mere paternalistisk software, bedrageri afsløring og et dygtigt supportteam, der kan nås 24–7. Det fine med blockchain er, at du kan oprette et forbrugerudbud oven på det, der fungerer meget mere som en bank, og det kan eksistere ved siden af ​​en børs, der er velegnet til nogen, der køber og sælger enorme, risikable beløb hver dag.

Det er svært at forstå, hvor brutalt det er at starte med dette niveau af hurtigt økonomisk tab, medmindre du selv har været der. Den BTC, jeg havde i min Coinbase, blev samlet over år, og ETH- og LTC-positionen var nyere. Jeg beskylder mig selv for ikke at have foretaget nok sikkerhedsundersøgelser, og jeg ved også, at disse åbninger er utroligt almindelige for andre. Medmindre der sker store ændringer, vil mange andre sandsynligvis blive frarøvet, og omdømmet til cryptocurrencies generelt vil forringe. Det eneste, der virkelig er ved at beskytte disse nytilkomne, er selve cryptocurrency-samfundet. Lad min rigelige elendighed være et råt advarselsskilt. Fortæl dine venner. Stol ikke på Coinbase-standarder. Tror ikke, det ikke sker med dig. Stop med at læse dette og sikre dine mønter lige nu.

Gør det.

Stop med at rulle.

...

* Opdatering *

Gyldige. Mange har opmuntret mig til at finde en advokat til at arbejde gennem nogle muligheder i handling mod Verizon og Coinbase. Hvis du kender til en lawer eller virksomhed, der kan være god, skal du skyde mig en DM (mine DM'er er åbne). Jeg har ikke mange ressourcer til at forfølge dette, så enhver generel rådgivning ville være nyttig.

Retssag mod Verizon og / eller CoinBase.com. Tilsyneladende er der allerede en retssag i bevægelse (lærer jeg mere om det). Hvis du også er blevet påvirket af en lignende situation på CoinBase, skal du sende mig besked, så vi kan dele historier.

Donationer. Wow. Nogle meget generøse mennesker i bitcoin-samfundet har spurgt om at donere til en tip jar eller hjælpe med at finansiere en retssag. Dette er fantastisk af dig og værdsat massivt.

LTC: LbZnJ8QWc581bm6iu6STpbKVq9RDv1Yqbd (i øjeblikket til ~ $ 250 USD)

ETH: 0x6877Ae8e428E0A989Aac250A1D09f98463277AbA (for tiden $ 40USD)

BTC: 188itMZTQx1PcbuCdpjBkdBLUKjJRcdPoj (i øjeblikket til ~ $ 280 USD)

Hugggge tak til @BTCXBTDEV.