Настройка двухфакторной аутинтификации на hitbtc.com, за минуту

2fa HitBTCДобрый день! Уважаемые читатели и гости блога pyatilistnik.info. В прошлый раз я вам рассказал, про вывод средств с Mining-Dutch.nl, надеюсь вы разобрались. Сегодня мы вновь поговорим про безопасность и ответственность пользователей, инвесторов за сохранность своих средств. Речь пойдет про мою взломанную учетную запись на HitBTC. Это такая крипто биржа, на которой я однажды регистрировался, но так и не удосужился завести туда криптовалюту, поэтому и не включал там двухфакторную аутентификацию (2FA). Сегодня я расскажу, как это сделать и спать спокойно на 90%, так как никто не застрахован от того, что биржу не взломают, чего стоит недавний пример с nice hash..

Как я узнал, что у меня взломали аккаунт hitbtc.com

Тут все просто, как в случае с биржей Bitfinex.com мне пришло на почту письмо счастья вот с таким содержанием:

Hello,
This email is to notify you of a successful login to your HitBTC account from an IP address not previously associated with this account.
Login details:
Date:2019.05.19 23:37
Location:, Russia
Event:Sign-in
Device:desktop
Browser:Chrome 69.0
Operation system:WinNT
IP:178.57.67.167
If you do not recognize this login, you should terminate all sessions, change password and delete all API keys immediately. Make sure you have 2FA enabled on your account. It can protect your account, even if someone obtains your login and password.
On guard of your security,
HitBTC

Взлом HitBTC

Из письма я видел, что некто по IP адресу 178.57.67.167 из Калуги, с компьютера хотел поиметь мои криптоденежки, но обломался. Тут представители HitBTC любезно вам сообщают, что нужно сделать в первую очередь если это были не вы:

  1. Убить все текущие сессии
  2. Удалить все API ключи
  3. Включить двухфакторную аутентификацию

Прежде чем убивать все сессии, убедитесь, что это не фишинговое письмо, которое содержит ссылку на левый сайт. Убедитесь, что в поле отправитель стоит проверенный адрес имеющий зеленую лычку, домена того сервиса, что был взломан.За это отвечают технологии DKIM и SPF, которые проверяют цифровую подпись отправителя. В моем примере Яндекс удостоверился и подтвердил, что письмо пришло с сервера HitBTC.

Письмо от HitBTC

Первым делом нажимаем "Terminate all session". В результате все сессии будут завершены. Далее авторизовываемся на сайте hitbtc.com. После чего я вам еще раз советую сразу же поменять пароль на вход. Для этого в правом верхнем углу нажмите значок шестеренки, у вас откроется настройки профиля. После чего перейдите на вкладку "Security". В поле "old Password" введите старый пароли и два раза новый.

Смена пароля на HitBTC

Если все хорошо, то вы увидите сообщение "Password successfully changed"

Успешно изменен пароль HitBTC

На почту вам придет уведомление, что пароль на вход был изменен.

Письмо о смене пароля HitBTC

Включение 2FA на HitBTC

Следующим шагом, который раз и навсегда защитит ваш аккаунт, это включение двухфакторной аутентификации. Ранее я уже рассказывал, как это делать на других биржах:

Еще советую вам почитать про принципы работы двухфакторной аутентификации, думаю будет полезно.Находясь на той же вкладке "Security" найдите раздел Two-Factor Authentication. Перед вами будет ваш QR-код с вашим секретным ключом, ниже будет сам Secure private key. Вы должны все это дело сфотографировать, записать и убрать в надежное место, так как эти данные будут нужны в случае утери телефона и восстановления доступа к аккаунту. Тут алгоритм такой же, как и в других случаях. Вам на телефон нужно установить приложение Google Authenticator, чтобы через него получать временные коды. Сделаем это.

2fa key HitBTC

Установка Google Authenticator

Устанавливаете себе приложение Google Authenticator, я больше доверяю ему. (https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2)

Google Authenticator

Открываем приложение Google Authenticator, вас будет приветствовать мастер настройки, можно сразу нажать кнопку "Начать"

Настройка Google Authenticator-01

У вас будет два метода добавить сюда нужный аккаунт из сервисов, QR-код и просто ключ, я выберу QR-код, который вам уже предоставил HitBTC.

Настройка Google Authenticator-02

У вас будет запрошено разрешение на использование камеры, разрешаем.

Настройка Google Authenticator-03

Считываем QR-код представленный на окне включения 2FA аутентификации на бирже hitbtc.com. ОБЯЗАТЕЛЬНО СОХРАНИТЕ СЕБЕ резервную копию ключа и сфотографируйте сам QR-код. У вас появится запись hitbtc.com, которая будет генерировать 6-ти значный код каждые 30 секунд, вот этот код вам нужно будет ввести на вкладке безопасности.

код HitBTC из Google Authenticator

Вводим 6-ти значный ключ из Google Authenticator в поле "Enter validation code from your device"

HitBTC 2fa key

Вас уведомят, что для активации двухфакторной аутентификации 2FA на HitBTC вы должны подтвердить письмо. Делаем это.

Подтверждение включения 2fa HitBTC

У вас будет вот такое письмо. Переходим по ссылке и активируем 2FA вход.

Подтверждение письма для 2fa HitBTC

Теперь у вас в пункте Two-Factor Authentication будут перечислены все ваши аккаунты из Google Authenticator. Теперь ваш аккаунт на HitBTC надежно защищен.

аккаунты 2fa на HitBTC

Обратите внимание, что на данной вкладке вы так же можете изучить историю входа с географией и IP-адресами.

История входов HitBTC

Удаление API ключей

API ключи позволяют удаленно управлять вашими активами из других сервисов и приложений, поэтому нужно проверить, что их нет и если есть, то удалить. Переходим на вкладку API Keys и проверяем список, в моем случае их не было.

HitBTC удалить api ключ

Как в итоге взломали

Могу со сто процентной уверенностью сказать, что ломанули саму биржу HitBTC. По одной причине, что у меня вирусов на компьютере нет, во вторых у меня стойкий пароль из 22 символов, плюс это не первая уже ситуация ,не только у меня, когда у людей приходили такие письма счастья. Так же вам советую верифицировать ваш аккаунт, удостоверив вашу личность, это как я делал верификацию для Poloniex, хуже от этого не будет. Теперь когда в очередной раз хакеры попытаются взломать аккаунт HitBTC, и попытаются войти, то они увидят

Запрос кода 2fa HitBTC

На этом у меня все. С вами был Сео Мастер, автор и создатель портала Pyatilistnik.info.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *