Gehackt bitvavo crypto

Dit voegt echt totaal niets toe.

[ Voor 83% gewijzigd door .oisyn op 11-06-2020 14:28 ]

wies leenders schreef op donderdag 11 juni 2020 @ 13:04:
Kan iemand mij helpen?

Wij niet.

Wat ik uit het enigszins warrige verhaal begrijp is dat je malafide Chrome extensies hebt geinstalleerd die inlog-gegevens hebben buitgemaakt. Dit is tegenwoordig een vaker voorkomende aanvals-vector, maar doorgaans richt die zich op gebruikers van hardware wallets (vooral Ledger).

Het IP adres dat je noemt, is van Ziggo. Ik weet niet hoe je dit adres gevonden hebt, maar als het inderdaad het adres is van de dief, dan blijft de boel wel binnen Nederland. Aangifte doen bij de politie (zorg ook dat er daadwerkelijk een aangifte wordt opgenomen, niet alleen een melding doen of om hulp vragen) en het IP adres doorgeven is eigenlijk het enige dat je kunt doen.

Even om het helder te krijgen:

- Had je malafide extenties geïnstalleerd op je computer die het BTC-adres hebben aangepast in je browser?
- Heb je vanuit de Exchange een overboeking gedaan t.w.v. €35k, naar een ander adres (wat is aangepast door de mallware?)
- Hoe weet je een IP-adres? Dat IP-adres is van een Nederlandse Ziggo klant

Hoe weet jij het IP adres? Dit kan je toch niet uit een BTC adres halen?

Dit riekt. Je hebt een NL IP adres, dus gewoon aangifte doen van diefstal met bewijs van die 35k.

Ik vrees dat je die 35k nooit meer terug ziet. Je kan hier echt helemaal niets mee.

wies leenders schreef op donderdag 11 juni 2020 @ 14:20:
Bedankt voor jullie antwoorden.

Ik heb net een ledger nano x gekocht en daar heb ik gister 0.1 bitcoin naar overgemaakt. Dat geld staat er dus wel veilig op. Dit duurde best wel lang voordat dit overgemaakt was en daar werd ik ook een beetje zenuwachtig van. BITVAVO is van de Bunq bank en die zouden mijn geld veilig moeten houden zou je denken.

Ik heb een malafide extention geïnstalleerd zonder dit verder te snappen.. (Ja erg dom, dat weet ik). Ik kan bij de politie pas op 17-6 aangifte doen... bizar, want blijkbaar is het een ziggo adres dat gewoon bekend is bij ziggo.

Nadat ik gister op de ledger een overboeking naar mijn eigen wallet heb gedaan, zijn ze ingelogd op de bitavo site, hebben mijn e-mail adres veranderd en hebben daar een wachtwoord reset naar toe laten sturen volgens mij. De overige 35K die dus op de bitvavo exchange is dus simpelweg daarna door iemand anders van de bitavo exchange af gehaald. Dacht ik dat dus mijn geld veilig stond. Heeft iemand nog een tip wat ik nu nog kan doen?

BITVAVO is niet van bunq.

Ik vrees dat je niet veel kunt doen, je hebt blijkbaar geen enkele van de aangeboden veiligheidsmaatregelen van BITVAVO opgevolgd en ook nog eens zelf een malafide extensie geïnstalleerd. Die 35K is weg.

Het is wel een goed idee om je cryptovaluta in zijn algemeenheid beter te gaan beveiligen. Dedicated devices (en dus device whitelisting), cold storage (daar was je al mee begonnen), und so weiter.

wies leenders schreef op donderdag 11 juni 2020 @ 14:20:
BITVAVO is van de Bunq bank

Nee, Bitvavo gebruikt Bunq als bankrekening voor hun (fiat) assets.

en die zouden mijn geld veilig moeten houden zou je denken.

Je fiat geld, ja. Maar je bitcoins staan niet bij een bank, die staan op de blockchain. Waarvan Bitvavo over de private keys beschikt. Maar dit is allemaal ongerelateerd. Het is namelijk niet dat dieven een kluis bij de bank hebben opengebroken, ze hebben jouw logingegevens gestolen en hebben zich als jou voorgedaan om vervolgens een geldopname te doen. Zoiets kan natuurlijk bij eender welke bank dan ook gebeuren.

want blijkbaar is het een ziggo adres dat gewoon bekend is bij ziggo.

Je hebt nog niet gereageerd op de vraag hoe je aan dat IP-adres komt. Heeft Bitvavo dat overhandigd? Heb je een geautomatiseerd mailtje gehad van Bitvavo dat er een login was vanaf dat ip?

Nadat ik gister op de ledger een overboeking naar mijn eigen wallet heb gedaan, zijn ze ingelogd op de bitavo site, hebben mijn e-mail adres veranderd en hebben daar een wachtwoord reset naar toe laten sturen volgens mij. De overige 35K die dus op de bitvavo exchange is dus simpelweg daarna door iemand anders van de bitavo exchange af gehaald.

Hoe kom je tot de conclusie dat de persoon die de opname heeft gedaan, iemand anders is dan degene die in eerste instantie heeft ingelogd?

Dacht ik dat dus mijn geld veilig stond.

Je geld stond op zich ook veilig, alleen ben je zelf onzorgvoldig met je gegevens geweest. Ik snap dat dit niet is wat je wil horen, maar het lijkt me handig om te stoppen met vingerwijzen naar Bitvavo want het is A. niet waar, en B. het helpt je zaak op geen enkele manier.

Ik denk dat er weinig is wat je verder kan doen. Na een korte zoekopdracht op google heb ik nog wel deze website gevonden. Zij proberen je geld terug te halen en vragen daarvoor een vergoeding. Ik heb er verder geen ervaring mee, maar niet geschoten is altijd mis! Zou wel eerst de voorwaarden even goed doornemen.

wat ik denk is dat dat ip adres van hemzelf is

wies leenders schreef op donderdag 11 juni 2020 @ 13:04:
Mijn vraagIk ben net geackt op de bitavo site en er is voor €35.000,- gestolen van mij. De politie doet niets en ik het geld is naar dit ip adres verstuurd. IP adres knip.

Just for shure, is dat ip-adres niet jouw eigen adres? Bv als je naar https://www.watismijnip.nl/ gaat kun je dat controleren.

[ Voor 2% gewijzigd door .oisyn op 11-06-2020 18:43 ]

Ik kan bevestigen dat het iig niet het ip-adres is wat heeft gebruikt op tweakers.net. Ik snap de conclusie ook niet zo goed dat het dan wel zijn eigen ip-adres zou zijn.

.oisyn schreef op donderdag 11 juni 2020 @ 14:43:
Ik kan bevestigen dat het iig niet het ip-adres is wat heeft gebruikt op tweakers.net. Ik snap de conclusie ook niet zo goed dat het dan wel zijn eigen ip-adres zou zijn.

Het leest als een gok louter omdat het een NL IP adres is.

Ben vooral benieuwd naar aanvulling vanuit @wies leenders over de gestelde vragen: er lijkt initieel best wat bekend over de manier waarop dit heeft plaats gevonden. Om in te schatten waar het mis ging en wat er nog gedaan kan worden is aanvulling daarop redelijk essentieel.

Overigens is €35.000,- verliezen op zo'n manier wel bizar en ultiem zuur.

wies leenders schreef op donderdag 11 juni 2020 @ 13:04:
Mijn vraagIk ben net geackt op de bitavo site en er is voor €35.000,- gestolen van mij. De politie doet niets en ik het geld is naar dit ip adres verstuurd. IP adres knip. Het bitcoin adres is 1HohBYS6GTRPnHv4F7n2jCt5ymqzNPx7uJ. Kan iemand mij helpen?

Relevante software en hardware die ik gebruik:
Google Chrome

Wat ik al gevonden of geprobeerd heb: Bitavo geeft mij zelf de extenties door die de dieven heben geintalleerd bij google chrome. Ze weten er blijkbaar van. Zelf was ik vergeten om mijn 2 factor authenticitator aan te zetten. Dom van mij, maar ook slecht van Bitvavo dat ze mij daar geen e-mail over hebben gestuurd dat dit blijkbaar speelt!

• Bitvavo Secure
• Secure browsing
• 3FA secure

...

los van de vraag of het je eigen schuld is of niet is het is mooi k..t

€35.000 is serieus geld sterkte ermee (een oplossing heb ik ook niet btw)

[ Voor 1% gewijzigd door .oisyn op 11-06-2020 18:43 ]

wies leenders schreef op donderdag 11 juni 2020 @ 13:04:
Mijn vraagIk ben net geackt op de bitavo site en er is voor €35.000,- gestolen van mij. De politie doet niets en ik het geld is naar dit ip adres verstuurd. IP adres knip. Het bitcoin adres is 1HohBYS6GTRPnHv4F7n2jCt5ymqzNPx7uJ. Kan iemand mij helpen?

Relevante software en hardware die ik gebruik:
Google Chrome

Wat ik al gevonden of geprobeerd heb: Bitavo geeft mij zelf de extenties door die de dieven heben geintalleerd bij google chrome. Ze weten er blijkbaar van. Zelf was ik vergeten om mijn 2 factor authenticitator aan te zetten. Dom van mij, maar ook slecht van Bitvavo dat ze mij daar geen e-mail over hebben gestuurd dat dit blijkbaar speelt!

• Bitvavo Secure
• Secure browsing
• 3FA secure

...

Ik ben ontzettend benieuwd welke extensie dit is geweest. Care to share?

[ Voor 1% gewijzigd door .oisyn op 11-06-2020 18:44 ]

"Jou" Bitcoins zijn verzonden naar dit adres: 1MWv6dD1E6A6K6y942DLq3Wj3YncL5uCkU ze staan daar nog in de wallet, maar ik kan me niet bedenken hoe je je Bitcoins terug zou moeten krijgen, ik ben heel bang dat dit een hele dure les voor je is geweest!

Toch wel vreemd, want volgens mij moet je als je vanaf een ander apparaat en of IP adres inlogt op Bitvavo eerst toestemming geven dat dit correct is. En je kunt niks wijzigen of versturen voordat je die toestemming hebt gegeven.
Volgens mij is dit een default instelling, net als dat er wel degelijk melding word gegeven als je geen 2fa en dergelijke hebt aanstaan. Wat in dit geval met zo’n bedrag erg dom is en uiteindelijk een dure les. Helaas kunnen bitcoin transacties niet ongedaan worden gemaakt en kun je fluiten naar je centen. Met een beetje mazzel kun je wat met IP, maar een beetje sluwe dief gebruikt ToR en coin mixers.

Je kunt mogelijk bij Bitvavo aankloppen omdat hun beveiliging niet voldoet aan wat gangbaar is bij een aanbieder van financiële dienstverlening. Ze stellen 2FA niet verplicht, en er is geen belletje gaan rinkelen toen je e-mailadres werd gewijzigd en er 35k werd overgeschreven. Maar als ik @Hooli-gan mag geloven, vertelt TS mogelijk niet het hele verhaal.

Subdiscussie over het overhandigen van ip-adressen verplaatst naar dit topic: IP overhandigen van hacker aan accounteigenaar

Misschien is er nog hoop. @wies leenders weet je zeker dat het geld gestolen is? Als je BTC op een Ledger zet, dan wordt voor elke transactie een nieuw BTC adres aangemaakt op die ledger. Dat is onderdeel van de beveiliging van de ledger zelf. Tenzij je het direct naar een specifiek BTC-adres van die ledger overmaakt.
Voor je eerste 0.1 BTC is dus misschien een ander adres aangemaakt dan voor je tweede transactie. Als je nu inlogt op de ledger zie je het totaalbedrag. Is dat nog steeds 0.1 BTC, of meer?

(Los daarvan: De legder is enkel een hulpmiddel om je private sleutels van het BTC adres te bewaren. Het is geen middel waar de BTC daadwerkelijk opgeslagen zijn. Het eigenaarschap van de private sleutels van een BTC adres geven je het eigenaarschap over de inhoud (in dit geval het geld) van dat adres. Hoeveel er op staat, staat geregistreerd op de blockchain, die wereldwijd op daarvoor ingerichte clients/servers opgeslagen wordt.)

[ Voor 34% gewijzigd door MicroWhale op 11-06-2020 16:13 ]

@MrWilliams Als ik naar de transactiegeschiedenis kijk zie ik eerst meerdere transacties naar het adres dat de TS hier heeft gedeeld, en van daaruit een consolidatie van de 4 losse UTXO's naar een enkele output. Dat laatste doet de Ledger software niet uit zichzelf.

.oisyn schreef op donderdag 11 juni 2020 @ 16:12:
@MrWilliams Als ik naar de transactiegeschiedenis kijk zie ik eerst meerdere transacties naar het adres dat de TS hier heeft gedeeld, en van daaruit een consolidatie van de 4 losse UTXO's naar een enkele output. Dat laatste doet de Ledger software niet uit zichzelf.

Zoals ik het beredeneer: Het kan zijn dat BITVAVO het tegoed van TS geconsolideerd heeft uit meerdere van haar eigen adressen naar het nieuwe Ledger adres van TS. Zo gebeurt dat wel vaker bij grotere exchanges of access points. Daar staat je geld ook niet op een specifiek voor jou aangemaakt adres, maar wordt een adres gedeeld met meerdere gebruikers.

Even ter aanvulling van mijn vorige post. Even gespit in mijn verwijderde mails. Voor die bevestiging er is kom je niet in het account en kun je ook geen wijzigingen doorvoeren.

[ Voor 9% gewijzigd door Bulligan op 11-06-2020 16:22 ]

wies leenders schreef op donderdag 11 juni 2020 @ 13:04:
Mijn vraagIk ben net geackt op de bitavo site en er is voor €35.000,- gestolen van mij. De politie doet niets en ik het geld is naar dit ip adres verstuurd. IP adres knip. Het bitcoin adres is 1HohBYS6GTRPnHv4F7n2jCt5ymqzNPx7uJ. Kan iemand mij helpen?

Relevante software en hardware die ik gebruik:
Google Chrome

Wat ik al gevonden of geprobeerd heb: Bitavo geeft mij zelf de extenties door die de dieven heben geintalleerd bij google chrome. Ze weten er blijkbaar van. Zelf was ik vergeten om mijn 2 factor authenticitator aan te zetten. Dom van mij, maar ook slecht van Bitvavo dat ze mij daar geen e-mail over hebben gestuurd dat dit blijkbaar speelt!

• Bitvavo Secure
• Secure browsing
• 3FA secure

...

Wies, als ik jou was zou ik me even melden in het Crypto slowchat topic, en vragen of er iemand met verstand van zaken met je mee wilt kijken.

Dat er domme dingen gebeurd zijn moge duidelijk zijn maar daar heb je nu niet zoveel aan. Een setje scherpe ogen met bitcoinkennis wel.

[ Voor 1% gewijzigd door .oisyn op 11-06-2020 18:44 ]

MrWilliams schreef op donderdag 11 juni 2020 @ 16:15:
[...]


Zoals ik het beredeneer: Het kan zijn dat BITVAVO het tegoed van TS geconsolideerd heeft uit meerdere van haar eigen adressen naar het nieuwe Ledger adres van TS.

Wel heel toevallig dat ze op 4 adressen bij elkaar geteld precies genoeg BTC hadden staan om op het totaal uit te komen dan he

Hooli-gan schreef op donderdag 11 juni 2020 @ 15:29:
Toch wel vreemd, want volgens mij moet je als je vanaf een ander apparaat en of IP adres inlogt op Bitvavo eerst toestemming geven dat dit correct is. En je kunt niks wijzigen of versturen voordat je die toestemming hebt gegeven.
Volgens mij is dit een default instelling, net als dat er wel degelijk melding word gegeven als je geen 2fa en dergelijke hebt aanstaan. Wat in dit geval met zo’n bedrag erg dom is en uiteindelijk een dure les. Helaas kunnen bitcoin transacties niet ongedaan worden gemaakt en kun je fluiten naar je centen. Met een beetje mazzel kun je wat met IP, maar een beetje sluwe dief gebruikt ToR en coin mixers.

Het is goed mogelijk dat de aanvaller ook toegang heeft verkregen tot het email account van TS en op die manier dergelijke bevestigingsemails heeft kunnen onderscheppen.

Je email adres is een belangrijk doelwit voor hackers omdat het vaak nodig is om toegang te krijgen tot andere accounts.

wies leenders schreef op donderdag 11 juni 2020 @ 16:43:
Ik heb het IP adres gewoon van BITVAVO gekregen. Ik heb ook geen mail ontvangen waarin ze mij vragen dat er met een nieuw apparaat is ingelogd en of dit klopt. De dief heeft eerst in mijn BITVAVO account het email adres veranderd waar die mail voor bevestiging van een nieuw apparaat naar toe moet!

Echt slechte beveiliging achteraf gezien want ik ben mijn geld kwijt. Als zo makkelijk door iemand anders het email adres wordt gewijzigd?

Nou anyway, ik heb t zelf dus ook shit gedaan.. maar wel mooi mijn spaargeld kwijt!! Bitvavo stuurde mij na de hack direct de extensies die de hack konden hebben veroorzaakt. Die stonden inderdaad op een van mijn computers. Het is dus een bekend probleem bij hen. Waarom hebben ze mij daar niet voor gewaarschuwd? Ze zien toch dat ik een flink bedrag stort om daar eindelijk mijn crytoavontuur mee te beginnen? Waarom krijg ik geen mail van zoiets als: Hee.. sukkel, beveilig je account beter want wij worden regelmatig gehackt! Overal op internet staat hoe veilig Bitvavo is.. Ik dacht dat het veilig was op deze exchange. Op mijn eigen bank (wat ik er mee vergelijk, er wordt hier immers geld van anderen bewaard) heb ik nog nooit zo een probleem gehad.

Is het IP-adres niet gewoon je eigen IP-adres? Ik kan me bijna niet voorstellen dat dit soort dieven gewoon een Ziggo IP-adres gebruiken
Je eigen IP-adres kun je o.a. checken op https://watismijnip.nl of https://www.whatismyip.com

Dus als je een email adres wijzigt moet je dat op je nieuwe adres confirmeren?
Dat is wel een slechte beveiliging

Wat een bizar zure situatie... Contact opgenomen (telefonisch) met Bitvavo?

Ik zou niet weten wat je kunt ondernemen naast aangifte...

Een exchange is nooit veilig. Nooit. Onder geen enkele omstandigheid of reputatie.

Maar 35k... Damn...

Ik hoop oprecht dat je hier nog iets van terugziet.

wies leenders schreef op donderdag 11 juni 2020 @ 16:43:


Nou anyway, ik heb t zelf dus ook shit gedaan.. maar wel mooi mijn spaargeld kwijt!! Bitvavo stuurde mij na de hack direct de extensies die de hack konden hebben veroorzaakt. Die stonden inderdaad op een van mijn computers. Het is dus een bekend probleem bij hen. Waarom hebben ze mij daar niet voor gewaarschuwd? Ze zien toch dat ik een flink bedrag stort om daar eindelijk mijn crytoavontuur mee te beginnen? Waarom krijg ik geen mail van zoiets als: Hee.. sukkel, beveilig je account beter want wij worden regelmatig gehackt! Overal op internet staat hoe veilig Bitvavo is.. Ik dacht dat het veilig was op deze exchange. Op mijn eigen bank (wat ik er mee vergelijk, er wordt hier immers geld van anderen bewaard) heb ik nog nooit zo een probleem gehad.

Ik zie ook helemaal geen signalen dat het daar onveilig is, het is op je eigen systeem mis gegaan. Als die extentie jou gegevens steelt, kan Bitvavo daar natuurlijk niets aan doen.
Ze zien misschien dat je inlogt op een ander IP adres, maar dat hoeft natuurlijk ook helemaal niets te zeggen.

Hoe veel kost het om je geld daar te stallen? Niets zo te zien? Dan kan je natuurlijk ook niet de service van een (betaalde) bank verwachten.

Jeffrey schreef op donderdag 11 juni 2020 @ 14:38:
Ik denk dat er weinig is wat je verder kan doen. Na een korte zoekopdracht op google heb ik nog wel deze website gevonden. Zij proberen je geld terug te halen en vragen daarvoor een vergoeding. Ik heb er verder geen ervaring mee, maar niet geschoten is altijd mis! Zou wel eerst de voorwaarden even goed doornemen.

1200 euro per maand.

wies leenders schreef op donderdag 11 juni 2020 @ 16:43:
Ik heb het IP adres gewoon van BITVAVO gekregen. Ik heb ook geen mail ontvangen waarin ze mij vragen dat er met een nieuw apparaat is ingelogd en of dit klopt. De dief heeft eerst in mijn BITVAVO account het email adres veranderd waar die mail voor bevestiging van een nieuw apparaat naar toe moet!

Echt slechte beveiliging achteraf gezien want ik ben mijn geld kwijt. Als zo makkelijk door iemand anders het email adres wordt gewijzigd?

Nou anyway, ik heb t zelf dus ook shit gedaan.. maar wel mooi mijn spaargeld kwijt!! Bitvavo stuurde mij na de hack direct de extensies die de hack konden hebben veroorzaakt. Die stonden inderdaad op een van mijn computers. Het is dus een bekend probleem bij hen. Waarom hebben ze mij daar niet voor gewaarschuwd? Ze zien toch dat ik een flink bedrag stort om daar eindelijk mijn crytoavontuur mee te beginnen? Waarom krijg ik geen mail van zoiets als: Hee.. sukkel, beveilig je account beter want wij worden regelmatig gehackt! Overal op internet staat hoe veilig Bitvavo is.. Ik dacht dat het veilig was op deze exchange. Op mijn eigen bank (wat ik er mee vergelijk, er wordt hier immers geld van anderen bewaard) heb ik nog nooit zo een probleem gehad.

Je hebt het probleem dat Crypto niet gereguleerd is (de "kenners" noemen dit het dikke vette voordeel. Ik nodig je uit om dat voordeel nu even uit te leggen?) dus er is geen bewakende instantie.

Een normale bank was hier natuurlijk nooit mee weggekomen. Phishing is verzekerd.

@Anoniem: 1032405 jou naam heb ik ongeveer 20000000x in het crypto topic gezien, wellicht dat jij, of een van je contacten iets kan betekenen?

Als het goed georganiseerd gebeurd is kan je natuurlijk 3x niks, maar het feit dat er een NL ip adres uit komt klinkt nog wel aardig alsof je misschien ergens een kans maakt.Opportunist?

Anoniem: 472287 schreef op donderdag 11 juni 2020 @ 18:27:
@Anoniem: 1032405 jou naam heb ik ongeveer 20000000x in het crypto topic gezien, wellicht dat jij, of een van je contacten iets kan betekenen?

Waarom denk je dat toch steeds?

.oisyn schreef op donderdag 11 juni 2020 @ 18:33:
[...]

Waarom denk je dat toch steeds?

Omdat mensen die 35k op een account zetten zonder 2fa aan te zetten op z'n minst gezegd niet zo scherp zijn.

Hij zou de eerste niet zijn die per ongeluk een Bitcoin (vul random variatie met andere adressen in) adres heeft gebruikt in zijn onwetendheid, en nu op zoek is naar een oplossing voor een "diefstal" van eigen portomonee.

Een kenner kijkt het even door en kan wellicht begrijpen wat er gebeurd is. Niet geschoten is altijd mis.

om het even te verduidelijken - ik bedoel dus niet dat je een technische oplossing kan aandragen, maar misschien wel een setje ogen dat zaken iets objectiever bekijkt.

[ Voor 22% gewijzigd door Anoniem: 472287 op 11-06-2020 18:37 ]

@Anoniem: 472287 het ging me neer om het feit dat in het slowchattopic de expertise wél is maar hier blijkbaar niet, ofzo. Ik zie al een aantal mensen met behoorlijke kennis van zaken gereageerd hebben .

Wmb wijst alles erop dat ie kan fluiten naar zijn geld. Tenzij hij het nog op een of andere manier aanhangig kan maken bij Bitvavo oid.

[ Voor 25% gewijzigd door .oisyn op 11-06-2020 18:45 ]

.oisyn schreef op donderdag 11 juni 2020 @ 18:37:
@Anoniem: 472287 het ging me neer om het feit dat in het slowchattopic de expertise wél is maar hier blijkbaar niet, ofzo. Ik zie al een aantal mensen met behoorlijke kennis van zaken gereageerd hebben .

Wmb wijst alles erop dat ie kan fluiten naar zijn geld.

Pardon, zo bedoelde ik het natuurlijk niet. Ik denk terug aan mijn "crypto" tijd en daar stond het crypto-slowchat topic en andere intressante zaken onder de favorieten. Dit topic had ik nooit gezien gedurende die tijd. Vandaar de "persoonlijke" aandacht.

Aanvullend - voor mij kwam deze onder "actieve topics" tevoorschijn, en niet "cryptocurrencies" . En het zou zomaar kunnen dat meerdere tweakers die subcategories niet dagelijks doorzoeken.

wmb> Dat ben ik met je eens. Maar voor 35k zou ik bijvoorbeeld wel een mede-tweaker willen helpen, non profit, ALS ik de kennis had. (die heb ik niet)

[ Voor 8% gewijzigd door Anoniem: 472287 op 11-06-2020 18:41 ]

Anoniem: 472287 schreef op donderdag 11 juni 2020 @ 18:27:
[...]


Je hebt het probleem dat Crypto niet gereguleerd is (de "kenners" noemen dit het dikke vette voordeel. Ik nodig je uit om dat voordeel nu even uit te leggen?) dus er is geen bewakende instantie.

Een normale bank was hier natuurlijk nooit mee weggekomen. Phishing is verzekerd.

@Anoniem: 1032405 jou naam heb ik ongeveer 20000000x in het crypto topic gezien, wellicht dat jij, of een van je contacten iets kan betekenen?

Als het goed georganiseerd gebeurd is kan je natuurlijk 3x niks, maar het feit dat er een NL ip adres uit komt klinkt nog wel aardig alsof je misschien ergens een kans maakt.Opportunist?

Ik zal je eerlijk zeggen dat ik de ballen verstand heb van dit soort zaken. Ik heb wat geld in crypto zitten maar daar houdt het ook mee op.

Heb wel een oproep geplaatst met enkele slimme jongens die meer verstand hebben van de achterliggende techniek want ik vind het echt een hele nare situatie voor TS.

Helaas is dit wel het nadeel van crypto. Je bent 100% op jezelf aangewezen en oplichters loeren om elke hoek. 35K is geen kattenpis en persoonlijk zou ik daar echt voorzichtig mee omgaan. Schone installaties van besturing systeem en browser, inkopen en versturen naar hardware wallet in stappen van 1 a 2k. Maargoed, daar heeft TS nu helemaal niets aan.

Nu zat ik te denken, je kunt transacties blijven volgen, dus in weze kun je je Bitcoins wel volgen als ik me niet vergis. Is er wellicht een soort meldpunt waar je malavide coins/adressen kunt opgeven voor brokers en exchanges? Zodat die coins hun weg naar fiat lastig kunnen vinden?

WEBGAMING schreef op donderdag 11 juni 2020 @ 17:54:
[...]

Ik zie ook helemaal geen signalen dat het daar onveilig is, het is op je eigen systeem mis gegaan. Als die extentie jou gegevens steelt, kan Bitvavo daar natuurlijk niets aan doen.
Ze zien misschien dat je inlogt op een ander IP adres, maar dat hoeft natuurlijk ook helemaal niets te zeggen.

Hoe veel kost het om je geld daar te stallen? Niets zo te zien? Dan kan je natuurlijk ook niet de service van een (betaalde) bank verwachten.

Bij een bank ben je ook gewoon de Sjaak als je computer slecht beveiligd is.

Deze “hack” heeft niets met de veiligheid van Bitvavo te maken, maar met de onwetendheid van de gebruiker.

Ik gebruik diverse Exchanges voor daytraden en grote bedragen moet je daar niet laten staan, maar op bijvoorbeeld ledger overmaken. De backup seed goed bewaren, cryptosteel bijvoorbeeld en buitenshuis. Sowieso voor zulke belangrijke accounts 2fa inschakelen (en ook Bitvavo attendeerd daar gewoon op, net als anti fishing signature). Als je die meldingen negeert kun je het hun niet verwijten.
Net als dat je voor alles een ander complex wachtwoord moet gebruiken.

Helaas heb je hier nu niks meer aan. Het enige wat je kunt doen is aangifte en die wallet eventueel in de gaten houden.

Hooli-gan schreef op donderdag 11 juni 2020 @ 18:56:
[...]


Bij een bank ben je ook gewoon de Sjaak als je computer slecht beveiligd is.

Deze “hack” heeft niets met de veiligheid van Bitvavo te maken, maar met de onwetendheid van de gebruiker.

Ik gebruik diverse Exchanges voor daytraden en grote bedragen moet je daar niet laten staan, maar op bijvoorbeeld ledger overmaken. De backup seed goed bewaren, cryptosteel bijvoorbeeld en buitenshuis. Sowieso voor zulke belangrijke accounts 2fa inschakelen (en ook Bitvavo attendeerd daar gewoon op, net als anti fishing signature). Als je die meldingen negeert kun je het hun niet verwijten.
Net als dat je voor alles een ander complex wachtwoord moet gebruiken.

Helaas heb je hier nu niks meer aan. Het enige wat je kunt doen is aangifte en die wallet eventueel in de gaten houden.

Niet waar. Als je rekening door Phishing leeggetrokken wordt, vergoedt de bank dat. Bron: ik heb wel eens aan de ontvangende kant gestaan van een "phishing" actie waarbij een auto van (toevallig!) 35k gekocht werd. De gedupeerde kreeg in dit geval gewoon zijn geld terug van de bank.

iig, dit was destijds bij de Rabo het geval. 2015 geloof ik.

Hooli-gan schreef op donderdag 11 juni 2020 @ 18:56:
[...]

Sowieso voor zulke belangrijke accounts 2fa inschakelen (en ook Bitvavo attendeerd daar gewoon op, net als anti fishing signature). Als je die meldingen negeert kun je het hun niet verwijten.

Juridisch gezien is het maar de vraag of zo'n melding genoeg is. Waarom is 2FA niet verplicht? Een heggenschaar of grasmaaier slaat bijvoorbeeld automatisch af als je hem niet goed beet hebt. Nu wordt letselschade in het algemeen ruimer toegekend dan vermogensschade, maar bij dit soort bedragen verwacht ik toch een betere beveiliging dan een melding die je eenvoudig weg kunt klikken.

GlowMouse schreef op donderdag 11 juni 2020 @ 19:02:
[...]

Juridisch gezien is het maar de vraag of zo'n melding genoeg is. Waarom is 2FA niet verplicht? Een heggenschaar of grasmaaier slaat bijvoorbeeld automatisch af als je hem niet goed beet hebt. Nu wordt letselschade in het algemeen ruimer toegekend dan vermogensschade, maar bij dit soort bedragen verwacht ik toch een betere beveiliging dan een melding die je eenvoudig weg kunt klikken.

Welkom in de ongereguleerde wereld van Crypto.

Anoniem: 472287 schreef op donderdag 11 juni 2020 @ 19:00:
[...]


Niet waar. Als je rekening door Phishing leeggetrokken wordt, vergoedt de bank dat. Bron: ik heb wel eens aan de ontvangende kant gestaan van een "phishing" actie waarbij een auto van (toevallig!) 35k gekocht werd. De gedupeerde kreeg in dit geval gewoon zijn geld terug van de bank.

iig, dit was destijds bij de Rabo het geval. 2015 geloof ik.

Ligt eraan hoe verwijtbaar je bent. Mijn schoonvader heeft in een domme bui eens een keer zijn tancodes doorgegeven aan een malafide partij aan de telefoon die beweerde van Microsoft te zijn. Geld weg, bank vergoedt niets.

.oisyn schreef op donderdag 11 juni 2020 @ 19:14:
[...]

Ligt eraan hoe verwijtbaar je bent. Mijn schoonvader heeft in een domme bui eens een keer zijn tancodes doorgegeven aan een malafide partij aan de telefoon die beweerde van Microsoft te zijn. Geld weg, bank vergoedt niets.

Mijn vader heeft afgelopen week in een domme bui zijn gehele spaarrekening overgemaakt naar een whatsappfraudeur dus ik begrijp wat je bedoelt. Maar voor de minder-intentionele phishingmethodes was er toen iig nog bescherming. Sterker nog - de bank heeft die 35k weer weggetrokken van de ontvangende partij! Ik ben nog steeds van mening dat dat onwettig was, probeer eens 35k die je per normale overschrijving hebt gedaan terug te trekken omdat het JOU geld kost en niet de bank?, ze belde ons ten tijde van de transactie, en we moesten die oplichters dus ongeveer 45min aan het lijntje houden. Geen geld, geen auto, maar zonder dat ze het doorhebben, zegmaar.

Either way, de bank doet dus echt wel zijn best als het om "verzekerd" geld gaat. Bitcoin veilig want geen overheid wut?

Goed, dat is oneerlijk want er zijn zat landen waar dat opweegt tegen de oplichting. Maar je begrijpt mn punt, denk ik.

Anoniem: 472287 schreef op donderdag 11 juni 2020 @ 19:03:
[...]


Welkom in de ongereguleerde wereld van Crypto.

Dat mag zo zijn, maar het Burgerlijk Wetboek geldt nog steeds. Heel misschien dat het niet afdwingen van 2FA gezien kan worden als onrechtmatige daad (nalatigheid) van Bitvavo? Wellicht dat @Arnoud Engelfriet hier iets meer over kan zeggen.

Djordjo schreef op donderdag 11 juni 2020 @ 20:50:
[...]

Dat mag zo zijn, maar het Burgerlijk Wetboek geldt nog steeds. Heel misschien dat het niet afdwingen van 2FA gezien kan worden als onrechtmatige daad (nalatigheid) van Bitvavo? Wellicht dat @Arnoud Engelfriet hier iets meer over kan zeggen.

Dan zal je wel heel hard je best moeten doen, een aangezien er in Crypto al diefstallen van miljoenen geweest zijn, sta je met je 35k echt aan de zijlijn.

Sterker nog, je maakt eigenlijk een uitstekend voorbeeld waarom je NIET al je knaken in Crypto moet steken.

Alle voordelen van een unregulated currency, dan ook alle nadelen.

Ik kan weinig toevoegen aan wat hier eerder al besproken is. Zulke bedragen moeten niet op een slecht beveiligd account staan, dit soort bedragen moet je in eigen beheer met fatsoenlijke backups bewaren.

De enige weg is aangifte, hopen dat het binnen Nederland blijft want dan heb je nog enige kans. Als het ip-adres klopt dan zijn de daders niet heel slim bezig. Tip: bewaar alle communicatie, maak screenshots, print mails uit, maak een dossier aan. Hou de transactie in de gaten, kijk waar het geld heengaat, kijken of je het spoor kunt volgen. Verder: de daders kunnen meelezen, even googlen op het adres en je komt op dit topic uit. Let op met wat je opschrijft.

Verder is het heel spijtig en heel kostbaar leergeld.

Djordjo schreef op donderdag 11 juni 2020 @ 20:50:
[...]

Dat mag zo zijn, maar het Burgerlijk Wetboek geldt nog steeds. Heel misschien dat het niet afdwingen van 2FA gezien kan worden als onrechtmatige daad (nalatigheid) van Bitvavo? Wellicht dat @Arnoud Engelfriet hier iets meer over kan zeggen.

Het BW geldt, maar ik denk dat een rechter dit niet zal zien als onrechtmatige daad. Enerzijds is er ook voor de klant een eigen verantwoordelijkheid. En anderzijds, als ik kort op de website van Bitvavo kijk zie ik dat ze (in ieder geval nu) informatie geven over de extra mogelijkheden tot beveiliging (Twee factor authenticatie (2FA), Apparaat & IP management, Veiligheidsnotificaties, Opname whitelist, Anti-Phishing beveiliging). Daar lijken ze toch ook zeker wel een bepaalde verantwoordelijkheid te nemen. Waar ze ook ongetwijfeld in AV's weer naar verwijzen.

Bovendien is het bedrag dat genoemd wordt natuurlijk op basis van de toenmalige koersen. Maar de vraag is wat mij betreft dus ook of die waarde ook bij een koersdaling nog te handhaven is. De cryptovaluta zijn immers nog niet daadwerkelijk omgezet. Verder is het natuurlijk een relatief groot bedrag (nogmaals, als je het zelf omrekent), maar in de cryptowereld denk ik nog niet schokkend. Ook voor het overmaken van dit soort bedragen in het normale betalingsverkeer via de systeembanken komt daar niet direct een ander proces bij kijken. Ook in relatie tot andere partijen zie ik dus niet dat ze overduidelijk steken hebben laten liggen waardoor een beroep op onrechtmatige daad succesvol kan zijn.

Djordjo schreef op donderdag 11 juni 2020 @ 20:50:
[...]

Dat mag zo zijn, maar het Burgerlijk Wetboek geldt nog steeds. Heel misschien dat het niet afdwingen van 2FA gezien kan worden als onrechtmatige daad (nalatigheid) van Bitvavo? Wellicht dat @Arnoud Engelfriet hier iets meer over kan zeggen.

Poe, nee dat gaat me in het algemeen te ver. Ik zie wel hoe ontoereikende beveiliging een tekortkoming kan zijn maar zonder context vind ik het nog te vroeg om te zeggen dan 2fa altijd nodig is.

Het punt is vooral dat je bij een bank altijd bescherming geniet bij fraude, tenzij opzet of grove nalatigheid. Bij een dienst als deze geldt die omkering niet. Succes met bewijzen dat deze club hier 2fa had moeten toepassen en dat enkel door die fout dit heeft kunnen gebeuren. Oftewel met 2fa was het uitgesloten dat dit zou zijn gebeurd.

https://bitcoinmagazine.n...ebsite-nederlander-34000/

lighting_ schreef op vrijdag 12 juni 2020 @ 21:31:
https://bitcoinmagazine.n...ebsite-nederlander-34000/

Bedankt! Dat artikel vult een hoop onduidelijkheden aan.

Anoniem: 472287 schreef op vrijdag 12 juni 2020 @ 21:38:
[...]


Bedankt! Dat artikel vult een hoop onduidelijkheden aan.

Bitvavo moet 2fa gewoon verplicht stellen.
Dan ben je van dit soort praktijken af.

Ik denk niet dat je iets bij de website iets kan halen. Als we kijken naar de banken krijg je niets vergoed bij grove nalatigheid. Geen 2fa en een foute plugin installeren lijkt mij grove nalatigheid.

Het zou netjes zijn als 2fa verplicht was, maar de beveiliging was zonder 2fa ook prima. Het is niet zo dat zij gehackt zijn

lighting_ schreef op vrijdag 12 juni 2020 @ 21:53:
[...]


Bitvavo moet 2fa gewoon verplicht stellen.
Dan ben je van dit soort praktijken af.

Niet als men controle heeft over het apparaat waar de Authenticator ook op staat.

En ik weet niet waar deze TS werkt. Maar misschien moeten ze de systeembeheerder eens op de vingers tikken, hoe het in hemelsnaam toegestaan is dit soort extensies op een bedrijfslaptop te installeren. Nu is er “slechts” privé bezit gestolen, maar het had veel erger kunnen zijn.

[ Voor 33% gewijzigd door Bulligan op 13-06-2020 08:08 ]

wies leenders schreef op donderdag 11 juni 2020 @ 14:20:

Nadat ik gister op de ledger een overboeking naar mijn eigen wallet heb gedaan, zijn ze ingelogd op de bitavo site,

Ik kwam een paar keer het woord "bitavo" tegen maar het gaat om "Bitvavo". Ook staat dit niet juist in de titel van dit topic.

Sterkte gewenst aan TS.

lighting_ schreef op vrijdag 12 juni 2020 @ 21:53:
[...]
Bitvavo moet 2fa gewoon verplicht stellen.
Dan ben je van dit soort praktijken af.

Indien het klopt dat je enkel maar transacties kunt doen vanaf een erkend apparaat terwijl onbekende apparaten eerst gevalideerd moeten worden via e-mail dan heb je ergens al een vorm van 2FA. Zwakke 2FA omdat een gecompromiteerde computer nog altijd toegang geeft natuurlijk. Maar enkel het wachtwoord kennen van dat account is dus al niet meer voldoende om vanop afstand in te loggen.

Aan de andere kant ken ik voldoende mensen die bij vele van hun accounts 2FA gaan inschakelen om dan op vertrouwde computers wel het vinkje te zetten dat ze onthouden mogen worden zodat ze de volgende keer niet eens hun wachtwoord meer moeten ingeven.

wies leenders schreef op maandag 15 juni 2020 @ 02:33:[...]

Paragrafen maken een tekst beter leesbaar.

Bitvavo zou inderdaad een waarschuwing mogen geven op hun site (wat ze nu gedaan hebben in een blogpost) of via een nieuwsbrief (waar velen zich tegenwoordig niet meer op inschrijven) over browser-addons die gekend zijn als onveilig en andere manieren waarop men probeert accounts over te nemen.

Nu, wanneer jij naar de klantendienst stuurt dat jij niet goed kunt inloggen, dan vraag ik mij af wat het antwoord van de klantendienst was. Het feit dat je zegt "niet goed" betekend ook dat je wel kan inloggen en dat bijvoorbeeld je wachtwoord nog niet aangepast is op dat moment. Dan denk ik dat er op dat moment andere problemen spelen.

IP adressen zijn dynamisch, waarom zou een site, die internationaal opereert, verbaasd moeten zijn dat jij een inlogpoging doet om 3u in de nacht van een nieuw IP adres? Misschien zit je wel ergens op een feestje en wil je tonen hoe eenvoudig alles is met bitvavo.

Je hebt zelf de keuze gemaakt om geen 2FA op te zetten, maar gaat dan wel verwachten dat ze een vorm van 2FA gebruiken om jouw in te lichten van zodra er een nieuw apparaat wordt gebruikt of er aanpassingen gebeuren aan je account. Ik weet niet hoe bitvavo hier mee omgaat, maar common practice vandaag is om een bevestigingsmail te sturen naar het oude adres om zo de aanpassing goed te keuren. Het feit dat ze toegang hebben tot jouw account toont evenwel aan dat ze toegang hebben tot dat mail adres aangezien ze hun apparaat hebben kunnen authorizeren voor de aanpassingen te kunnen maken.

En nee, er is in deze thread door experts al aangegeven dat je bitvavo niet zomaar aansprakelijk zult kunnen stellen. Zij zijn sowieso geen bank en moeten dus niet aan dezelfde voorwaarden en regels voldoen als financiële instellingen. Zij bieden 2FA aan, maar jij hebt de keuze gemaakt die niet te gebruiken. Zoals je zelf aangeeft, bitcoin meester heeft een mailtje naar zijn gebruikers gestuurd, maar ook niet meer dan dat. Ook zij hebben er geen verplichting van gemaakt.

Volgens mij is dit een mooi moment om te bedenken waar je mee bezig bent.
Je vertrouwd een online bank waarvan je eigenlijk geen idee hebt hoe de beveiliging is. Je weet dat Bitcoin gemaakt is om anoniem te blijven. Je weet ook dat Bitcoin alle kanten op kan schieten.
Dus je zult nooit een groot deel van je spaargeld erin steken. Dan zou je beter naar een casino kunnen gaan. Daar is de beveiliging veel beter op orde.

Om in die vergelijking te blijven: je koopt chips, hebt een leuke avond en gaat savonds naar huis met 35k aan chips. Je bent echter niet helemaal wakker dus laat de achterdeur open staan. Iemand anders dat jouw chips. En nu wil je dat de casino je toch uitbetaald. Want ze zouden op camerabeelden kunnen checken dat jij weg ging met 35k aan chips.

Enige wat niet klopt is dat de chips een vaste waarde hebben, Bitcoin niet.

[ Voor 5% gewijzigd door 99ruud99 op 15-06-2020 08:23 ]

Een exchange die bij non 2FA accounts withdrawals van hoge waarde toestaat zonder enige wachttijd na een e-mail wissel zonder bevestiging van oude email adres zou wel erg slecht zijn imho, ik snap dat het geld van de gebruiker is en de exchange het niet kan gijzelen, maar er horen toch wat basic safety features te zijn. Geen 2FA = minimaal enkele andere veiligheidsrestricties zoals email als tweede factor (en ik vermoed dat dat ook het geval is, dat opnames bevestigd moeten worden via email... Een email wissel kan je niet altijd bevestigen bijv omdat oude mail ontoegankelijk is en zeker in zo'n geval mag 35k opnemen per direct niet mogelijk zijn imho)

Is dit serieus hoe het bij bitvavo gesteld is of is er veel ontbrekend aan dit verhaal?

Wazig maar daardoor niet minder sneu, succes. Helaas weinig kans.

[ Voor 28% gewijzigd door TWeaKLeGeND op 16-06-2020 13:15 ]

99ruud99 schreef op maandag 15 juni 2020 @ 08:22:
Volgens mij is dit een mooi moment om te bedenken waar je mee bezig bent.
Je vertrouwd een online bank waarvan je eigenlijk geen idee hebt hoe de beveiliging is. Je weet dat Bitcoin gemaakt is om anoniem te blijven. Je weet ook dat Bitcoin alle kanten op kan schieten.
Dus je zult nooit een groot deel van je spaargeld erin steken. Dan zou je beter naar een casino kunnen gaan. Daar is de beveiliging veel beter op orde.

Om in die vergelijking te blijven: je koopt chips, hebt een leuke avond en gaat savonds naar huis met 35k aan chips. Je bent echter niet helemaal wakker dus laat de achterdeur open staan. Iemand anders dat jouw chips. En nu wil je dat de casino je toch uitbetaald. Want ze zouden op camerabeelden kunnen checken dat jij weg ging met 35k aan chips.

Enige wat niet klopt is dat de chips een vaste waarde hebben, Bitcoin niet.

Dit lijkt me niet de plek om kromme analogieën aan te halen en daarmee TS te beschuldigen om geld in iets te stoppen waar jij niet in gelooft.

DaCoTa schreef op maandag 15 juni 2020 @ 10:28:
[...]

Dit lijkt me niet de plek om kromme analogieën aan te halen en daarmee TS te beschuldigen om geld in iets te stoppen waar jij niet in gelooft.

Feit blijft dat op een 'domme' fout heeft gemaakt met een heleboel pegels. Het grootte voordeel is tegelijk het grootste nadeel voor de gemiddelde leek, namelijk er zijn geen correcties in het grootboek van Bitcoin mogelijk. Deze specifieke coins zal je nooit meer terug zien, hoogtens kan je hopen op de coulance van Bitvavo.

Leer mij de cryptobedrijven kennen, op enige sympatie hoef je niet te rekenen.
TS heeft veel leergeld betaald, laten we hopen dat hij nu niet zat van de crypto is.

GlowMouse schreef op donderdag 11 juni 2020 @ 15:59:
Je kunt mogelijk bij Bitvavo aankloppen omdat hun beveiliging niet voldoet aan wat gangbaar is bij een aanbieder van financiële dienstverlening. Ze stellen 2FA niet verplicht, en er is geen belletje gaan rinkelen toen je e-mailadres werd gewijzigd en er 35k werd overgeschreven. Maar als ik @Hooli-gan mag geloven, vertelt TS mogelijk niet het hele verhaal.

Ik vind het persoonlijk ook nogal een vreemd verhaal. Wanneer ik ook maar iets wijzig of verplaats bij Bitvavo wordt ik eerst om mijn oren geslagen met allerhande waarschuwingen en moet er eerst van alles worden bevestigd. Als je 2FA niet aan hebt staan dan ontvang je sowieso een mail waarin je het verplaatsen van valuta moet bevestigen.

Operativus schreef op maandag 15 juni 2020 @ 15:07:
[...]


Ik vind het persoonlijk ook nogal een vreemd verhaal. Wanneer ik ook maar iets wijzig of verplaats bij Bitvavo wordt ik eerst om mijn oren geslagen met allerhande waarschuwingen en moet er eerst van alles worden bevestigd. Als je 2FA niet aan hebt staan dan ontvang je sowieso een mail waarin je het verplaatsen van valuta moet bevestigen.

Als TS allerlei malafide Chrome extensions heeft geinstalleerd, is het ook best mogelijk dat de aanvaller toegang heeft gekregen tot het email account van TS (als er gebruik wordt gemaakt van een webmail-dienst, zoals GMail). De aanvaller kan dan eenvoudig alle email-bevestigingen afhandelen en de betreffende emails verwijderen.

lighting_ schreef op donderdag 11 juni 2020 @ 17:26:
Dus als je een email adres wijzigt moet je dat op je nieuwe adres confirmeren?
Dat is wel een slechte beveiliging

Tot voor kort was dat bij bijvoorbeeld Tweakers het geval, zie plan: Notificaties bij aanpassen accountgegevens & meer - Development-iterati...

Bij Bitvavo werkt het niet zo, als je inlogt (en dat moet je doen om een mail adres te veranderen) dan krijg je eerst een mail om te bevestigen op het oude adres. Als je die niet bevestigd, dan kom je niet ingelogd en kan je nooit het mail adres veranderen.
Ik bedenk mij nu ineens dat als dit via een malafide plugin is gegaan, dat dan in feite vanaf de computer van TS gedaan is en er dus geen mail volgt om het apparaat goed te keuren. Dat verklaart waarom het mail adres gewijzigd kon worden zonder notificatie.

---

Rannasha schreef op maandag 15 juni 2020 @ 15:28:
[...]


Als TS allerlei malafide Chrome extensions heeft geinstalleerd, is het ook best mogelijk dat de aanvaller toegang heeft gekregen tot het email account van TS (als er gebruik wordt gemaakt van een webmail-dienst, zoals GMail). De aanvaller kan dan eenvoudig alle email-bevestigingen afhandelen en de betreffende emails verwijderen.

Dat hoeft dus niet eens. Als de plugin gewoon het mailadres bij Bitvavo vervangt vanaf de eigen computer, dan is er helemaal geen toegang tot de mail nodig.

[ Voor 34% gewijzigd door Drardollan op 15-06-2020 15:51 ]

Drardollan schreef op maandag 15 juni 2020 @ 15:40:
[...]

Tot voor kort was dat bij bijvoorbeeld Tweakers het geval, zie plan: Notificaties bij aanpassen accountgegevens & meer - Development-iterati...

Dat was dan ook niet op het conto van beveiliging, de bevestiging is ter voorkoming van het invullen van een foutief of niet bestaand adres. Niet om zeker te weten dat jij wel echt jij bent .

Uiteraard wel goed dat dat nu wat beter is geregeld. De aanleiding was oplichterij in V&A met gestolen accounts. Wat dat betreft vind ik het wel vreemd dat Bitvavo (volgens jou, heb er zelf geen ervaring mee) gewoon naar hartelust je mailadres laat veranderen als je al bent ingelogd. En daarna ook nog eens withdrawals toestaat. Bij de meeste exchanges die ik wel ken kun je geen withdrawals doen een tijd na het wijzigen van dat soort belangrijke gegevens.

[ Voor 18% gewijzigd door .oisyn op 15-06-2020 15:55 ]

Drardollan schreef op maandag 15 juni 2020 @ 15:56:
Bij Tweakers wordt er een smoesje (foutief of niet bestaand adres) bedacht

Gelul. Feit is dat accounts op tweakers gewoon niet goed beveiligd waren. Die bevestiging op je nieuwe adres is geen "smoesje", dat is gewoon om te controleren dat dat emailadres klopt. Dat heeft *niets* met beveilging te maken, dat dient gewoon een heel ander doel.

En nog steeds niet echt af is, met 2FA zou het nog mooier zijn. Maar zoals vaak is het een keuze tussen gebruikersgemak, kosten, ontwikkeltijd en prioriteiten.

Klopt, volgens mij staat 2FA nog wel in de wishlist.

In dit geval (Bitvavo) gaat het toch ook om een gestolen account?

Ik gaf een toelichting op hoe het bij Tweakers zat. Mijn mening over Bitvavo gaf ik erbij in de edit die je niet gequoot en dus waarschijnlijk ook niet gezien hebt

[ Voor 15% gewijzigd door .oisyn op 15-06-2020 16:03 ]

.oisyn schreef op maandag 15 juni 2020 @ 16:00:
[...]

Gelul. Feit is dat accounts op tweakers gewoon niet goed beveiligd waren. Die bevestiging op je nieuwe adres is geen "smoesje", dat is gewoon om te controleren dat dat emailadres klopt. Dat heeft *niets* met beveilging te maken, dat dient gewoon een heel ander doel.

??

Ik quote letterlijk vanuit de .Plan:

Notificaties bij aanpassen accountgegevens

Bij het wijzigen van je wachtwoord en e-mailadres sturen we nu een e-mail waarin staat dat er een wijziging is aangebracht. Bij het wijzigen van je wachtwoord wordt de notificatie verstuurd naar het huidige e-mailadres. Als je je e-mailadres wijzigt, komt de notificatie binnen bij het oude e-mailadres.

Helaas zijn er Tweakers-accounts waarvan de inloggegevens ook elders worden gebruikt en inmiddels via hacks zijn uitgelekt. Daar wordt soms door kwaadwillenden gebruik van gemaakt. Met deze wijziging hopen we dergelijke accounts sneller op te merken, zodat oneigenlijke toegang kan worden bestreden.

E-mailadres wijzigen

De aanleiding van deze wijziging is een reeks meldingen over gebruikers die zijn opgelicht via Vraag & Aanbod. Oplichting komt op V&A vaker voor, maar deze incidenten hadden gemeen dat de oplichter gebruik had gemaakt van een gekaapt Tweakers-account. In dit artikel kun je meer lezen over deze hacks en hoe je ze kunt voorkomen.

Daarin staat toch heel duidelijk dat er een mail naar het oude adres wordt gestuurd bij het aanpassen van je mail adres ter voorkoming van accountkaping? Die beveiliging had (en heeft) Tweakers niet op orde, en die benoemde ik.

Jij haalt er het nieuwe mail adres bij en gebruikt dat als smoesje voor deze .Plan. Maar deze .Plan is er enkel en alleen voor bedoeld om kapen van accounts lastiger te maken, althans, dat is wat er in de .Plan staat. In deze .Plan staat helemaal niets over de controle van het nieuwe mail adres. En dat is ook niet wat ik in deze thread heb aangehaald, de controle of het nieuwe mailadres wat bij Tweakers of Bitvavo ingevuld wordt correct is doet niet ter zake.

[ Voor 4% gewijzigd door Drardollan op 15-06-2020 16:08 ]

Drardollan schreef op maandag 15 juni 2020 @ 16:05:
[...]

??

Ik quote letterlijk vanuit de .Plan:

Mijn "gelul" slaat op jouw stelling dat het een smoesje is.

Jij haalt er het nieuwe mail adres bij en gebruikt dat als smoesje voor deze .Plan

Nee, lightning_ had het erover dat een wijziging op het nieuwe mailadres moest worden bevestigd, en jij beaamde dat dat bij Tweakers ook het geval was.

Dat was ook bij Tweakers het geval, maar niet onder het mom van beveilging. Die feature (mail naaar nieuw adres) heeft niets met beveilging te maken. Gelukkig sturen ze tegenwoordig (zie .plan) een bevestiging naar het oude adres, ter beveilging.

Misschien heb je het idee dat ik hier Tweakers probeer te verdedigen, maar dan zou ik suggereren om mijn reacties nog eens goed door te lezen

[ Voor 64% gewijzigd door .oisyn op 15-06-2020 16:16 ]

.oisyn schreef op maandag 15 juni 2020 @ 16:08:
[...]

Mijn "gelul" staat op jouw stelling dat het een smoesje is.

Het zou je sieren dat soort woorden niet te gebruiken.

[ Voor 21% gewijzigd door Drardollan op 15-06-2020 16:12 ]

Drardollan schreef op maandag 15 juni 2020 @ 16:11:
[...]

Behalve dat het je zou sieren om zulke woorden niet te gebruiken zou je ook eens terug moeten lezen, want je zit dingen door elkaar te halen.

Jij begon toch met zeggen dat het een smoesje is? Ik gaf nergens een smoesje. Noch deed Tweakers dat.

[ Voor 56% gewijzigd door .oisyn op 15-06-2020 16:14 ]

.oisyn schreef op maandag 15 juni 2020 @ 16:08:
[...]
Nee, lightning_ had het erover dat een wijziging op het nieuwe mailadres moest worden bevestigd, en jij beaamde dat dat bij Tweakers ook het geval was.

Ik heb genoemd dat de beveiliging van Tweakers crappy was en nog steeds tekortschiet. Al is er met de door mij genoemde .Plan in ieder geval iets van verbetering ingevoerd. Maar veilig is Tweakers nog steeds niet, en zolang 2FA niet ingebouwd wordt blijft dat zo.

Het verschil tussen Bitvavo en Tweakers is dat je Tweakers eventueel aansprakelijk had kunnen stellen bij accountkaping omdat ze 0,0 maatregelen namen en gebruikers geen mogelijkheid hebben gegeven om het veiliger te maken. Dit is nu half bakken opgelost, net voldoende om het juridisch overeind te houden waarschijnlijk. Bitvavo geeft vanaf het eerst moment duidelijk aan dat je aanvullende moet nemen en biedt hier ook de middelen voor aan (2FA). Dat de gebruiker dit niet doet, dat is aan de gebruiker. Maar kan je Bitvavo het op geen enkele wijze kwalijk nemen.

Overigens ben ik het helemaal met je eens dat eigenlijk elke site standaard 2FA zou moeten aanbieden en vereisen. Helaas is dat nog een utopie. Maar het is een goede gewoonte om op het moment dat er 2FA beschikbaar is deze ook daadwerkelijk te activeren, ongeacht welke site het is.

Drardollan schreef op maandag 15 juni 2020 @ 16:23:
[...]

Ik heb genoemd dat de beveiliging van Tweakers crappy was en nog steeds tekortschiet.

100% eens.

Bevestiging op je nieuwe email adres is gevaarlijk. Hoe kan BitVavo het hebben verzonnen? Desnoods stuur je een sms met code ter bevestiging als iemand geen 2fa gebruikt. Want ook je oude e-mailadres kan gehackt zijn. Er heeft duidelijk geen auditor naar gekeken. Ik denk dat dit een hele lange juridische strijd kan worden tenzij beide partijen water bij de wijn doen en dit als leergeld zien. Ook BitVavo heeft geen trek in negatieve media aandacht.

2fa verplicht of sms. Je beschermt niet alleen je klanten maar ook jezelf. Voor die paar klanten die afhaken moet je maar voor lief nemen. Want zie daar het gezeik wat ervan komt.

[ Voor 25% gewijzigd door lighting_ op 15-06-2020 17:21 ]

Sorry hoor, maar je geeft het zelf ook al aan, dit is je eigen fout.
Als je het over dit soort bedragen hebt, en de Exchange raadt jou bepaalde beveiligingsmaatregelen aan zoals 2FA en je negeert dat EN je installeert nog wat malafiede chrome extensions (want die maken het zo lekker makkelijk allemaal), dan moet je echte niet de vinger gaan wijzen naar anderen.

Dank voor jullie hulp! Nog even over nalatigheid van de Exchange BitVavo:ik heb inmiddels 2 mede slachtoffers gevonden ( net zo dom als ik )

Les geleerd hopelijk, verder gaan met je leven.

Modbreak:

Ik denk dat de TS nu wel genoeg gewezen is op haar eigen fouten . Laten we het vanaf nu even constructief hebben over mogelijke vervolgstappen, en natuurlijk updates van de kant van TS worden ook gewaardeerd.

Ik moest meteen aan dit topic denken:

https://www.nu.nl/tech/60...xtensies-met-spyware.html

Daarnaast denk ik dat de TS wel (zeer) goede acties heeft uitgezet na dit debacle.
Denk dat dit minimaal een goed effect heeft op het bewustzijn van mensen.

Een heel vervelend leermoment, maar wat fijn dat ons nog terugkoppelt over hoe het verder is gegaan.

Ik vind het zelf nog steeds bijzonder opmerkelijk dat 2FA voor zo'n dienst een optie is. Ze komen er makkelijk mee weg zo. Ik begrijp ook uit dit antwoord dat er niet direct een actie gestart wordt om 2FA te verplichten.

Mooie terugkoppeling en inkijkje, helaas een vervelend leermoment.

Anoniem: 316512 schreef op donderdag 18 juni 2020 @ 16:45:
Ik vind het zelf nog steeds bijzonder opmerkelijk dat 2FA voor zo'n dienst een optie is. Ze komen er makkelijk mee weg zo. Ik begrijp ook uit dit antwoord dat er niet direct een actie gestart wordt om 2FA te verplichten.

tja ik heb het niet zo op verplichtingen.
Ik wil graag eerst rondkijken.

no1san schreef op donderdag 18 juni 2020 @ 22:58:
tja ik heb het niet zo op verplichtingen.

Een opt-out zou dan een mooie tussenvorm zijn. Liefst gepaard met een melding met de risico's die je daarmee accepteert.

Of verschillende tiers, zoals sommige andere exchanges. Meer dan €1000? Dan ook 2fa aan.

no1san schreef op donderdag 18 juni 2020 @ 22:58:
[...]


tja ik heb het niet zo op verplichtingen.
Ik wil graag eerst rondkijken.

Tot je er een groot bedrag op zet, vergeet 2FA aan te zetten en je iets overkomt net zoals OP. 2FA moet imho gewoon verplicht zijn bij financiële middelen en tussenpersonen.

Er zijn zelfs exchanges die meerdere 2FA mogelijkheden hebben en gebruiken, eentje om in te loggen, eentje om een transactie uit te voeren en nog een om je account gegevens te wijzigen.

no1san schreef op donderdag 18 juni 2020 @ 22:58:
[...]


tja ik heb het niet zo op verplichtingen.
Ik wil graag eerst rondkijken.

Je moet ook een gebruikersnaam en wachtwoord aanmaken, dat zijn ook wel forse verplichtingen hoor. Sowieso, welke extra 'verplichting' ga je aan met 2FA?

Als een 2FA aanzetten op een plek waar dat kan (en nut heeft) al teveel moeite is......

[ Voor 3% gewijzigd door Drardollan op 19-06-2020 08:55 ]

no1san schreef op donderdag 18 juni 2020 @ 22:58:
[...]


tja ik heb het niet zo op verplichtingen.
Ik wil graag eerst rondkijken.

Je kan je account toch gewoon verwijderen? Wat heeft dat precies met 2FA te maken. En los daarvan, ik denk dat dit een goed voorbeeld is waarvan jouw wens toch ondergeschikt is voor de veiligheid.

Bedank je medemens maar die malifide extensies aan het rondsturen is en mensen oplicht.

Dat is (of was) het mooie van Crypto. Iets minder regels.
ik wil dus graag rondkijken en een paar transacties doen voordat ik een beurs ga gebruiken.

Daarnaast ook de beveiligingsmogelijkheden bekijken zoals alleen overboeken naar goedgekeurde rekeningen met een minimale wachttijd van een paar dagen. (zoals bij Deribit)

Zeker bij niet geverifieerde accounts moet je ook een backup hebben van de 2fa keys.
De website kan ze dan immers niet makkelijk herstellen.
Daarnaast maak ik gebruik van meerdere authenticator apps die ook in sync moeten blijven.

En ter discussie:
Daarnaast denk ik dat de mensen die gedwongen worden tot 2fa een groter risco lopen dan de mensen die bewust 2fa aan of uitzetten,

Edit:
2fa verplicht en voor het rondkijken een volledige testomgeving zonder 2fa.
deribit.com heeft dat.

[ Voor 7% gewijzigd door no1san op 19-06-2020 09:15 ]

no1san schreef op vrijdag 19 juni 2020 @ 09:12:
Dat is (of was) het mooie van Crypto. Iets minder regels.
ik wil dus graag rondkijken en een paar transacties doen voordat ik een beurs ga gebruiken.

Daarnaast ook de beveiligingsmogelijkheden bekijken zoals alleen overboeken naar goedgekeurde rekeningen met een minimale wachttijd van een paar dagen. (zoals bij Deribit)

Zeker bij niet geverifieerde accounts moet je ook een backup hebben van de 2fa keys.
De website kan ze dan immers niet makkelijk herstellen.
Daarnaast maak ik gebruik van meerdere authenticator apps die ook in sync moeten blijven.

En ter discussie:
Daarnaast denk ik dat de mensen die gedwongen worden tot 2fa een groter risco lopen dan de mensen die bewust 2fa aan of uitzetten,

Edit:
2fa verplicht en voor het rondkijken een volledige testomgeving zonder 2fa.
deribit.com heeft dat.

TS zal het vast met je eens zijn.

Waarschijnlijk ook geen maildienst die verdachte inlogpogingen blokkeert? Dat vind ik wel een groot voordeel van Google, zelfs als men je wachtwoord heeft kan men nog niets.

Zal vast wel een soort vergoeding zijn afgesproken. Maar dat zal niet kenbaar worden gemaakt. Door positief over bitvavo te zijn maken ze goed reclame. Iedereen blij.

Heb je nou je eigen antwoord als beste gemarkeerd? Oke... (waarom kan dat überhaupt?)

Ga je ze nog aanklagen of heb je ondertussen ook gezien dat dat vrij idioot is?

[ Voor 14% gewijzigd door WEBGAMING op 22-06-2020 19:11 ]

WEBGAMING schreef op maandag 22 juni 2020 @ 19:03:
Heb je nou je eigen antwoord als beste gemarkeerd? Oke...

Neen, dat heb ik gedaan.

Drardollan schreef op maandag 22 juni 2020 @ 19:37:
[...]
??
Gewoon 1 app gebruiken die automatisch synchroniseert? Dat bestaat al jaren en werkt prima.

Gewoon de QR code printen en ergens in de la stoppen? Je kan ze blijven scannen, ook op meerdere devices. Codes lopen synchroon, geen noodzaak voor cloud sync, wat toch weer een attack vector is. Ook ideaal als actieve backup voor codes van een partner.