Материал о трех случаях пропажи средств со счетов на бирже Exmo прислал один из наших читателей. Ниже публикуем обстоятельства незаконного вывода средств и комментарии представителей биржи.

Введение

Биржа Exmo основана разработчиками из СНГ, сейчас над развитием проекта работает интернациональная команда из Испании, России, Индии и Таиланда. Штаб-квартира находится в Великобритании, также есть представительство в Барселоне.

Популярность биржи связана с возможностью вывода фиатных средств (USD и EUR) непосредственно на банковскую карту. Однако такая функция доступна только верифицированным аккаунтам. Процедура верификации достаточно трудоемкая и требует предоставления паспортных данных, информации о месте регистрации, подписания соглашения, а также селфи-фото с документом на фоне персонального аккаунта в EXMO. Верификация аккаунта может занять больше месяца.

Кроме этого, любой вывод средств с биржи требует подтверждения по e-mail, либо с помощью двухфакторной аутентификации по смс или по TOTP (Google Authenticator). Практически выглядит это так: после того как вы в личном кабинете запросили вывод средств, на почту приходит сообщение с ссылкой, перейдя по которой вы подтверждаете операцию. Затем запрос на вывод средств идет на проверку.

Со слов представителей биржи на одном из форумов, проверка вывода средств может занимать до 72 часов. На практике процедура действительно занимает достаточно много времени, что зачастую приводит к потерям из-за изменения курса.

Ниже показан пример: на этот адрес неоднократно выводились деньги с российского ip-адреса. Но все равно проверка заняла 16 часов.

Есть еще один способ вывести средства без подтверждения — через API. Данный метод включается вручную по запросу в техподдержку.

Также стоит уточнить, что при смене пароля и типа защиты включается блокировка вывода средств на два дня.

Что общего у трех случаев пропажи средств

В каждой истории вывод средств производился в достаточно короткие сроки и был запрошен через прокси, хотя ни один из пользователей не включал подобную функцию. Во всех трех историях пользователи осуществляли вход на биржу только с российских IP-адресов, а злоумышленники запрашивали вывод средств с зарубежных адресов. Имена всех героев изменены.

Первая история

Первый пользователь, назовем его Алексом, использует почту Gmail, где у него включена двухфакторная аутентификация, для входа на биржу двухфакторная аутентификация не была установлена. Алекс — программист, работает на Windows, технически грамотный человек. Использует Chrome, непроверенных плагинов не устанавливает, задействует разные пароли для сервисов.

Хронология событий:

— 26 января в 7:48 аккаунт Алекса проходит верификацию,

— 28 января в 18:24 злоумышленник заходит в аккаунт из Люксембурга,

— 28 января в 18:38 злоумышленник покупает криптовалюту в паре DOGE/BTC,

— 28 января в 18:41 злоумышленник выводит криптовалюту DOGE с аккаунта.

Обратите внимание, что в 18:41 был одобрен вывод, а не создана заявка.

Никакое сообщение на почту Алексу не приходило, ни по каким ссылкам для подтверждения вывода средств он не переходил.

В результате $1800 в Doge было выведено за 3 минуты с момента покупки валюты. Почему-то проверка вывода в этот раз сработала оперативно, и службу безопасности не смутило, что пользователь зашел из Люксембурга и решил вывести валюту в первый раз на данный адрес.

Вторая история

Еще один пользователь по имени Боб также завел деньги на биржу, покупал и продавал монеты, иногда выводил прибыль на электронные кошельки. У Боба на сайте Exmo была включена двухфакторная аутентификация по смс. По каким-то причинам Боб не мог войти в свой аккаунт более 30 дней, в том числе и в момент, когда был произведен незаконный вывод средств. Техподдержка отвечала на сообщения медленно и неохотно.

Хронология событий:

— 30 декабря в 9:22 злоумышленник заходит на биржу из Амстердама. Боб не был онлайн с 27 декабря, 30 декабря смс о подтверждении входа на биржу ему не приходила,

— 30 декабря в 9:23 злоумышленник меняет валюту в паре WAVES/BTC,

— 30 декабря в 9:26 злоумышленник выключает аутентификацию по смс и включает TOTP (Google Authenticator). Здесь же видно, что злоумышленник запрашивал восстановление пароля в 9:22 и за минуту вошел в аккаунт,

— 2 января в 9:29 злоумышленник получает деньги. Ровно через 2 дня после смены способа защиты. То есть проверку опять удалось удачно пройти, несмотря на нетипичный IP-адрес, новый адрес вывода, а также смену способа защиты и пароля.

В итоге со счета было выведено около $300. Боб смог зайти в аккаунт только в феврале.

Третья история

Третью пострадавшую зовут Виктория, она давно занимается торговлей и обменом криптовалюты и имеет достаточно хорошую репутацию на сервисе LocalBitcoin.

Виктория использует Mac OS X, следит за безопасностью, никаких плагинов не ставит, пользуется почтой Mail.ru, на которой включена аутентификация по смс. Однако пароль от Exmo и от почты Mail.ru у Виктории был одинаковый.

В результате злоумышленнику удалось отключить двухфакторную аутентификацию на почте Mail.ru, каким-то образом получив паспортные данные Виктории и предоставив их службе поддержки. Это подтвердила техподержка Mail.ru.

В этом случае средства были выведены не только с биржи Exmo, а также с кошелька LocalBitcoin и биржи Yobit.

Хронология событий:

— 4 февраля в 12:07 злоумышленник входит в аккаунт биржи Exmo,

— 7 февраля в 18:33 злоумышленнику удалось войти на почту Mail.ru после отключения верификации,

— 7 февраля в 18:42 (15:42) злоумышленник проводит торги, переводя все средства в BTC,

— 7 февраля в 19:13 (16:13) злоумышленник полностью выводит все BTC с аккаунта биржи Exmo.

В итоге, вывод BTC подтвердили за 30 минут. Общая сумма, выведенная со всех сервисов, составила $35,000.

Информация к размышлению. Как работает сброс пароля

Если включить двухфакторную аутентификацию, выйти из аккаунта и запросить восстановление пароля, то можно получить новый пароль в открытом виде на почте.

При этом старый пароль все еще работает.

В связи с этим возникает несколько вопросов:

 Возможно ли, что Exmo хранит пароли в открытом виде?

 Может ли кто-нибудь из сотрудников перехватывать письма, отправленные в адрес пользователей, и выводить средства со счетов?

Официальный ответ биржи Exmo

Обращение потерпевших в техподдрежку биржи Exmo не помогло решить ситуацию (12) . Сотрудники биржи отвечают раз в несколько дней, и их ответы не отличаются разнообразием.

Также в адрес биржи был сделан запрос от имени редакции. Но ее представители не ответили на вопросы о том, случались ли подобные ситуации ранее, могут ли сотрудники незаконно выводить средства пользователей, и будут ли в ближайшее время предприняты какие-то меры для повышения надежности биржи. PR-менеджер Exmo пообещал разобраться в ситуации, но на повторное письмо через несколько дней никто не ответил.

Мы надеемся привлечь внимание администрации Exmo к данной проблеме, а почтовый сервис Mail.ru призываем пересмотреть свои инструкции по безопасности при отключении двухфакторной аутентификации.