@molly2 is going on stealing...what can we do? - @molly2 continua a rubare...cosa possiamo fare? [ENG - ITA]
[ENG]
Hello everyone, unfortunately the activity of @molly2, the hacker account that seems able to get hold of the keys of many steem users, shows no sign of stopping.
Once again yesterday, various users were robbed of the liquid Steem and SBD on their wallets.
As I said a few days ago in my post in which I talked about this unpleasant story, I'm really very worried and annoyed by this situation.
So I tried to open a discussion table with some of my Country Reps colleagues to try to combine the information we had found, our impressions and study possible counter-moves to protect us and the users of our communities.
We all agreed that authorities left on tools that are no longer active could be the most likely vehicle for allowing the hacker to get passwords. So, if you're reading this post and haven't done so yet...REVOKE ALL USELESS AUTHORITIES.
Here you can find my post that explains how to do it.
It is also possible that old devs no longer present on the Steem blockchain have found a way to access the active keys (many apps were created by them and they also know all the codes of the blockchain well, having been witnesses).
However, let's be clear, it's not fair to accuse anyone without having evidence to prove the facts.
I tried to discuss and ask the opinion of Victor Frankenstein, witness with Symbionts, on what could be the countermeasures to be adopted to defend their funds from these attacks.
I was convinced that two-factor authentication could be ideal for increasing the level of security, but it seems that this is not the case.
The most important actions we can do are:
- set another owned account as recovery
- transfer the funds into savings if you want to keep them free (or Power Up, even better)
- change passwords from time to time to make it more difficult for those who want to steal to find them
- never leave your master password lying around online, but keep it offline (cold storage)
There is also the possibility of adopting an additional security measure, the multisignature, with which to transfer funds it is necessary to confirm with at least four active keys instead of just one.
It's clear that it is not an easy system to implement, also because it would be difficult for users to adopt.
Beyond all these precautions that each of us can use, I believe that an intervention by the Steemit Team is necessary, perhaps assisted by our smartest devs such as @steemchiller, @justyy, @ ety001, to name a few.
I understand that it is by no means easy, but we need to understand if there is anything we can do as soon as possible to try to secure our resources.
The fact that the steemitwallet has been inaccessible for a few hours now makes me think (or at least hope) that something is being tried.
We'll see what happens.
In the meantime, keep yourself safe!!
Cc:-
@steemitblog
@steemcurator01
@steemcurator02
@stephenkendal
@shortsegments
@cryptokannon
@steemchiller
@jphamer1
@trafalgar
@xpilar
@upvu
@steemingcurators
@steem-agora
@reflektor
@hingsten
@bippe
@twinner
@upmewhale
@gotogether
@justyy
@successgr
@sct.krpw
Cc to all the CR's:-
Cameroon (@njiatanga, @saxopedia), Ghana (@njaywan, @oppongk), Nigeria (@beautychicks, @focusnow, @bright-obias, @whitestallion), Uganda (@yohan2on), Mexico (@leveuf), Argentina (@belenguerra, @fendit), Venezuela (@adeljose, @anasuleidy, @edlili24, @mariita52, @tocho2, @albenis, @inspiracion, @wilmer1988), Bangladesh (@rex-sumon, @tarpan, @toufiq777), India (@neerajkr03, @rishabh99946, @sapwood), Indonesia (@anroja, @ernaerningsih, @nazarul, @radjasalman), Japan (@cryptokannon), Pakistan (@rashid001), Sri Lanka (@besticofinder, @randulakoralage), Italy (@girolamomarotta), Russia (@filinpaul, @knopka145), Turkey (@alikoc07), Ukraine (@antorv, @olesia) and New Zealand (@kiwiscanfly).
Bye everyone
GM
[ITA]
Ciao a tutti, purtroppo l'attività di @molly2, l'account hacker che pare in grado di impossessarsi delle chiavi di molti steem users, non accenna a fermarsi.
Ancora una volta ieri, vari utenti sono stati derubati degli Steem e SBD liquidi presenti sul loro wallet.
Come dicevo qualche giorno fa nel mio post in cui parlavo di questa sgradevole vicenda, sono davvero molto preoccupato e infastidito da questa situazione.
Così ho provato ad aprire un tavolo di discussione con alcuni miei colleghi Country Rep per cercare di unire le informazioni che avevamo reperito, le nostre impressioni e studiare possibili contromosse per tutelare noi e gli utenti delle nostre community.
Tutti eravamo d'accordo sul fatto che le authorities lasciate su tool non più attivi potessero essere il veicolo più probabile per permettere all'hacker di prendere le password. Quindi, se state leggendo questo post e non l'avete ancora fatto...REVOCATE TUTTE LE AUTHORITIES INUTILI.
Qui trovate il mio post che vi spiega come fare.
E' anche possibile che vecchi devs non più presenti sulla blockchain Steem abbiano trovato il modo di accedere alle active keys (molte app sono state create da loro e conoscono bene anche tutti i codici della blockchain, essendo stati dei witness).
Comunque, sia chiaro, non è giusto accusare nessuno senza avere prove per dimostrare i fatti.
Ho provato a confrontarmi e a chiedere il parere anche di Victor Frankenstein, witness con Symbionts, su quelle che potrebbero essere le contromisure da adottare per difendere i propri fondi da questi attacchi.
Ero convinto che un' autenticazione a due fattori potesse essere ideale per aumentare il livello di sicurezza, ma pare che non sia così.
Le azioni più importanti che possiamo fare sono:
- settare come recovery un altro account di proprietà
- trasferire i fondi nei savings se si vuole tenerli liberi (o fare Power Up, ancora meglio)
- cambiare di tanto in tanto le password per renderne più difficile l'individuazione a chi vuole rubarle
- non lasciare mai in giro online la propria master password, ma custodirla offline
Esiste anche la possibilità di adottare una ulteriore misura di sicurezza, la multisignature, con la quale per trasferire fondi è necessaria la conferma con almeno quattro active keys anziché solo con una.
E' chiaro che non è un sistema facile da implementare, anche perché risulterebbe di difficile adozione per gli utenti.
Al di là di tutte queste precauzioni che ognuno di noi può usare, credo sia necessario un intervento del Team Steemit, magari coadiuvati dai nostri devs più in gamba come @steemchiller, @justyy, @ety001, per citarne alcuni.
Capisco che non sia assolutamente facile, ma bisogna capire se c'è qualcosa che possiamo fare quanto prima per provare a mettere al sicuro le nostre risorse.
Il fatto che il wallet sia inaccessibile ormai da alcune ore mi fa pensare (o almeno sperare) che qualcosa si stia tentando di fare.
Vedremo cosa succederà.
Nel frattempo, tenetevi al sicuro!!
Saluti a tutti
GM
Ma è strano che riescano a prelevare le monete senza accedere alle chiavi private, di solito utilizzando un link esca. Un mistero... Che balls
Il wallet resta ancora inacessibile!!spero ci siano ancora i miei steem...
Gracias por este aporte amigo, es necesario mantener informada a toda la comunidad y ayudar a prevenir estos robos