Якийсь час тому я був на своєму акаунті bc.game посеред гри, і мене раптово виключили. Я знову увійшов у систему, а мій гаманець Ethereum був спустошений за 2 транзакції протягом 20 секунд.
Досить вражаюче, враховуючи, що для входу та виведення коштів потрібен мій Google Authenticator, а також 2FA для телефону та електронної пошти. Я не отримав жодного електронного листа чи текстового повідомлення про те, що код було надіслано. Я перевірив свій обліковий запис bc.game, мій номер 2FA та електронна адреса не були змінені та не додані нові. Мій обліковий запис Google, пов'язаний з Google Authenticator, не був скомпрометований, і я не впевнений, що це мало значення, оскільки він генерує коди на пристрої, а не в мережі. Тож, очевидно, я дуже збентежений, як таке могло статися.
Я зв'язався зі службою підтримки протягом хвилини, після перевірки транзакцій виведення та налаштувань 2FA. Вони сказали мені, що мій обліковий запис буде заблоковано, і надіслати електронного листа [email protected] Перш ніж я встиг закінчити розмову, обліковий запис був заблокований. Я надіслав усю запитувану інформацію і тижнями нічого не отримав, також не було відповідей на подальші електронні листи. Нещодавно я отримав листа від [email protected] без теми листа. Мене просять перейти за посиланням і виконати KYC. Я дивлюся на посилання, і воно веде на SumSub, велику нібито авторитетну платформу KYC, посилання здається справжнім. SumSub мала проблеми з казино, які підробляли свої веб-сайти для крадіжки інформації, їх також критикували за те, хто насправді контролює компанію. Під час мого дослідження я виявив, що компанія, яка ініціює KYC, у моєму випадку bc.game, може володіти завантаженою інформацією, і мені некомфортно, якщо bc.game матиме копію мого паспорта разом з будь-чим іншим, що вони можуть запросити. Ви також знайдете багато публікацій в Інтернеті про людей, які потрапляють у нескінченний цикл перевірки з BC.game, багато разів проходячи його, деякі просто здаються.
Поки я вивчаю все це, я надсилаю електронного листа на підтримку та [email protected] запитують, що буде зроблено з моїми вкраденими коштами після завершення KYC, і чи збережуть вони якісь мої особисті документи. Я ще не отримав відповіді.
Тож чи був мій обліковий запис зламаний? Однозначно. Чи було це зроблено за допомогою когось із інсайдерською інформацією, чи лише за допомогою самого веб-сайту? Можливо. Я не розумію, як з усіма заходами безпеки, які я мав, хтось зміг отримати доступ до мого облікового запису, не надіславши мені сповіщення 2FA або не отримавши доступу до мого Google Authenticator. Я досить добре володію технологіями, і з того, що я досліджував, якщо тільки мій обліковий запис Google не був зламаний, чого не сталося, жодної незвичайної активності, невідомих пристроїв, змін паролів і жодної дивної активності з того часу, тоді цього просто не мало статися.
Я просто хочу отримати деякі відповіді.
