De digitale roof bij Bitcoin-beurs Bitinstant werd gepleegd via een DNS-kaping. Dat klinkt complex en kan dat in de praktijk ook zeker zijn. Alleen was het dat in dit geval geheel niet. De kaping van de domeinnaam van de handelaar in virtuele valuta werd gedaan met wat gegoogel, succesvolle social engineering en vervolgens inlog bij een andere Bitcoin-beurs. Daar tussendoor nog wat mailonderschepping en een wachtwoordreset.

Toch tikje technisch

De buit bedraagt een bescheiden 12.000 dollar aan Bitcoin-'munten'. De diefstal van dat digitale betaalmiddel is begonnen met een gerichte zoekopdracht naar publiek bekende informatie. Namelijk de meisjesachternaam en geboorteplaats van de beheerder bij Bitinstant. Gewapend met die informatie benaderden de aanvallers domeinregistrar Site5 om de controle te krijgen over het domein van het doelwit.

Dat is de dieven gelukt, schrijft techmagazine Wired op basis van een blogpost van de gehackte beurs. Site 5 voegde, overtuigd door de controle-informatie die de hackers hadden opgezocht, een e-mailadres van hen toe aan het domeinbeheer. Daarna werd dat adres ingesteld als primaire log-in voor het account. Hierdoor vielen de domeinen van Bitinstant in handen van de rovers. Die nieuwe beheerders hadden daarmee ook toegang tot de mail van en voor de Bitcoin-beurs.

Wachtwoordreset

Vervolgens voerden zij een wachtwoordreset uit bij een andere Bitcoin-beurs, voor het account dat Bitinstant daar had. De reset bij die derde partij, VirWox, leverde een bevestigingsmail op die door de hackers werd onderschept en benut. Met het nieuwe, zelf ingestelde VirWox-wachtwoord haalden de dieven vervolgens de Bitcoin-rekening van Bitinstant leeg.

Dat plunderen van het account bij VirWox was mogelijk doordat Bitinstant geen twee-factor authenticatie gebruikte. De gebruikersnaam en het wachtwoord waren dus voldoende voor de bankrovers. De schade was wel alleen voor Bitinstant. "Geen andere beurzen zijn geraakt [door deze inbraak en diefstal - red]", stelt het bedrijf in zijn post mortem over de Bitcoin-roof. Het bewuste blog is op het moment van schrijven niet toegankelijk.

Beveiliging niet gebruikt

De andere Bitcoin-beurzen die Bitinstant gebruikt, zijn namelijk wel beschermd door aanvullende beveiligingsmaatregelen. Daaronder ook authenticatie op basis van twee of meer factoren, zoals naast een wachtwoord bijvoorbeeld ook een toegestuurde sms-code of een nummer genererende dongle. Bitinstant noemt hierbij in zijn blogpost Yubikeys en automatische vergrendelingen (auto lockdowns).

Beveiliging bieden is één, beveiliging gebruiken is twee. Lees verder op pagina 2.

Het ontbreken van betere beveiliging ligt overigens niet aan VirWox. Die Bitcoin-beurs vertelt aan Wired dat het sinds september vorig jaar multi-factor authenticatie biedt. "Bitinstant gebruikte dat niet", antwoordt een woordvoerder op vragen van het Amerikaanse techmagazine. De gehackte beurs heeft dat nu wel ingesteld bij VirWox.

'Geen grote technische skills'

In de opbiechtende blogpost stelt Bitinstant dat de dieven geen grote technische skills hebben. Maar ze zijn wel "stiekem genoeg om hun sporen te wissen", citeert techblog TechCrunch. Mogelijk dat er betaalinformatie, zoals namen en adressen, beschikbaar is bij "sommige hostingproviders waar ze ons domein naartoe hebben gestuurd", maar waarschijnlijk is dat dan toch weer nepinformatie, stelt Bitinstant. Valse namen en gestolen creditcards doen vaak dienst voor vage hostingdoeleinden, zoals deze domeinkaping.

Het vermoeden is dat de dieven afkomstig zijn uit Rusland. Bitinstant baseert dit op de providers die de Bitcoin-rovers hebben gebruikt en op eerdere diefstalpogingen, die toen niet succesvol waren en die "duidelijk van Russische oorsprong" waren. De beheerder van Bitinstant spreekt van een persoonlijke aanval.

De wisselkoers voor Bitcoins is de laatste tijd flink stijgende; de virtuele munten zijn steeds meer waard: Klik voor groot

Via: Bitcoincharts.

Wilde Westen

Techmagazine Wired haalt nog chief scientist Gaven Andresen van de Bitcoin Foundation aan, die vorig jaar zelf ook is bestolen. Zijn Bitcoin-portemonnee, opgeslagen op een computer bij een internetprovider en gevuld met slechts 15 dollar aan Bitcoins, werd toen geleegd. Hij slaat het merendeel van zijn Bitcoins op op een laptop die is versleuteld en niet verbonden met het internet.

"We bevinden ons nu in de Wild Westen-tijd van Bitcoins", zegt Andresen. "En sommige van de kleine beurzen en kleinere diensten hebben hun beveiliging nog niet op orde." Bewijs daarvan is dat wisselbeurs BitFloor in september is gehackt doordat een back-up van encryptiesleutels niet was versleuteld. Verder is vorig jaar de Bitcoinica-beurs twee keer gehackt, waarbij bijna een half miljoen dollar aan Bitcoins is buitgemaakt. Die beurs ging uiteindelijk onderuit.