Ninjastic
PostEdited versionsQuotes to this post
Post
Topic
Board Альтернативные криптовалюты
Re: [UMI] UMI — универсальный денежный инструмент
by
UMI Top
on 02/11/2021, 13:26:08 UTC
Quote from: nekripta on November 01, 2021, 03:19:07 PM
Quote from: UMI Top on November 01, 2021, 02:38:01 PM
Quote from: nekripta on October 31, 2021, 07:27:56 PM
Добрый день, команда UMI.
Вы присылали новость о том, что нужно срочно удалить всю переписку с ботом ISP-клуба следующего плана:

------
Внимание, друзья, срочно удалите ВСЮ переписку с ботом ISP Club, если вы указывали в нем мнемоническую фразу! Например, для проведения транзакций или при заказе UMI-карт.

Команда ISP Club не имеет доступа к вашей мнемонической фразе и сам бот — безопасен. НО (!) появились способы внедрения ПО в сам Telegram для вычисления в переписках комбинаций из 12/24 слов определенной группы (мнемофраза).

☝️ Удалив переписку, вы себя обезопасите. На данный момент команда ISP Club работает над тем, чтобы в будущем мнемоническая фраза не хранилась в диалоге. Ранее бот автоматически удалял мнемофразу из переписки у себя, теперь будет удалять еще и у вас.

С уважением, команда UMI!

------

Как вы пришли к выводу, что переписка была украдена с клиентской части? Какие у вас есть доказательства. Есть примеры пользователей, которые удалили мнемофразу из переписки еще задолго до того, как она была украдена злоумышленниками.
С технической точки зрения у вас не может быть никаких на это доказательств.

К тому же вы пишете "появились способы внедрения ПО в сам Telegram"
Что значит в сам Telegram? в botFather? на сервер телеграм? технически данная фраза не отражает суть действия программы-злоумышленника? она подключается к серверу или клиенту? Если она подключается к клиенту, то каким образом вы это определили, не имея доступа к клиенту?
У меня например клиент защищен двухфакторной аутентификацией и не было никаких подключений к клиента, соответственно переписка в принципе не могла быть украдена с клиента.

Что вы можете ответить на это?
Информацию о кражах мнемонической фразы передал нам ISP Club. Поэтому мы и уведомили наших пользователей о том, что в срочном порядке следует удалить всю переписку с ботом, чтобы защитить их монеты.

По нашим данным, ISP Club уже работает над устранением проблемы. Они сделают апдейт, и их бот будет автоматически удалять переписку с пользователями, чтобы закрыть эту лазейку для мошенников.

За дополнительными вопросами лучше обращаться к представителям ISP Club.



А вот они ссылаются на вас, поэтому и решил уточнить.
Всю переписку приводить не буду. Вот их финальный ответ:

Мы сделали полный анализ системы безопасности админки и полный анализ самой системы бота. Уровень безопасности стоит самый высокий.
Никаких повреждений или проникновений в код бота нет. Развернули ноду нашего пула, сделали подобный анализ.
Выявили еще 2 команды на доп проверку, конечную проверку делала команда UMI.
Именно поэтому мы сделали такой вывод🙌🏾

Если вы им рекомендовали удалять переписку с пользователями ботом, все таки эта лазейка на стороне бота. Тогда почему они утверждают, что бот безопасен? причем ссылаются на вас.
Все верно. ISP Club сделал полный анализ и передал информацию нам. Мы также осуществили проверку со своей стороны и уведомили сообщество. Сам бот безопасен, как и утверждает команда ISP Club. Всю имеющуюся информацию мы предоставили в новости: https://t.me/umi_news_ru/485. Сейчас ждем апдейта от ISP Club.