Darwinex, site passoire en sécurité, IP pas protégée

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

28 févr. 2018 15:04

Mini coup de gueule tout de même

https://community.darwinex.com/t/two-fa ... ondynamite

Le constat est que le niveau de sécurité des comptes Darwinex est au raz des paquerettes. Les protections nécessaires sont absentes.

Il est évident, qu’au moment où nous parlons, des usagers sont espionnés par des tiers sans même avoir reçu un début d’alerte pour être au courant. Les outils de surveillance pour ne serait-ce qu’avoir la puce à l’oreille et réagir de façon autonome sont , comme les protections, inexistants

En somme, malgré tous les beaux efforts, à la racine, en l’état, la propriété intellectuelle chez Darwinex n’est pas protégée

Idem, MyFxBook est dans les choux avec un gros panneau “Bienvenue chez les traders partageurs” affiché à l’entrée
Dernière édition par Napoleon Dynamite le 28 févr. 2018 17:22, édité 1 fois.

Avatar de l’utilisateur
Pure Pip Producer
Mentor
Mentor
Messages : 2902
Inscription : 21 mai 2017 10:08
Contact :

28 févr. 2018 17:19

Seriously? :o :o :o
Quand on est à ce point en avance, il faut s'attendre à ce que la plupart des gens ne comprennent pas ce que vous faites.

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

28 févr. 2018 21:02

Medialux a écrit :
28 févr. 2018 20:23
[Bon dans l'absolu on n'est jamais trop prudent. Donc je vote pour un dongle physique, c'est plus ou moins le seul truc qui tient la route comme sécurité.
Oui, si d’eux même, ils approuvent maintenant qu’il ya un intéret pour un appareil physique de validation (2FA) c’est qu’ils sont okay que ce ne sera pas du luxe superflu.

Les pbs peuvent survenir de partout.
Du moment que tu accèdes au compte web d’un gars, il a beau avoir caché les 3 volets de protection d IP possible (4 bientôt avec le coup des horaires des trades de PPP), ben il aura accès aux coulisses. Quand bien même Darwinex cacherait l’IP du trader à lui même, suffit de s apercevoir quand le gars dort (horaires de trading), se connecter au compte, changer les paramètes d’IP, tout consulter, les remettre. Ni vu ni connu

Aussi des gens avaient demandé que les login / mot de passe des comptes MT4 ouverts soient consultables depuis le site client à posteriori. Cette demande avait l’air d être approuvée bien que pas en place encore ? Si jamais ça le devenait, bon ben après avec ces identifiants tu peux piloter un compte et le cramer ou le parasiter. Manquerait plus que le mot de passe investisseur soit relayé et alors tu peux récupérer un historique pour l’importer ailleurs.

Le pire dans tout ça, sous ProtonMail ou les sites cryptos par exemple, t as au moins une console minimum qui consigne toutes les connexions avec toutes les IP et les horaires, donc si t’es pas alerte sur le moment, tu peux au moins te rendre compte que tu n’es plus seul sur ton compte à tout moment ultérieur. Avec Darwinex et MT4, rien de tout ça ! Tu ne sauras jamais ce qu’il t’arrive si tu es en train de cohabiter avec des pirates. C est vraiment léger
Dernière édition par Napoleon Dynamite le 28 févr. 2018 21:16, édité 1 fois.

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

28 févr. 2018 21:03

64ECAD08-8311-4571-8527-24D73AEABAE4.jpeg

Aujourd’hui si tu partages ton accès avec un intru sans être averti, le gars tous les soirs il peut télécharger l’historique de trades pour le rétro-ingénirer dans son canapé tranquilement. Ca peut durer longtemps ce petit manège.

L’IP dispose d’axes multiples de verrouillage face à l’extérieur, sauf que le principal, la sécurité basse couche du site, est à la ramasse.

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

28 févr. 2018 21:07

De la part d’une entreprise, c’est quand même à priori pas hyper sérieux d’approuver que la sécurité pourrait être mieux traitée

ici
https://community.darwinex.com/t/two-fa ... ondynamite

et encore dans le webinaire de Juan ce soir

tout en le traitant comme non prioritaire, possible de “remettre à plus tard” :roll: et à justifier la suspension du développement par “on est fauchés”

C’est tout de même un poil fort de café ! :D je dis ça je dis rien

Avatar de l’utilisateur
Pure Pip Producer
Mentor
Mentor
Messages : 2902
Inscription : 21 mai 2017 10:08
Contact :

28 févr. 2018 21:42

Napoleon Dynamite a écrit :
28 févr. 2018 21:07
à justifier la suspension du développement par “on est fauchés”
Au moins, on sait désormais pourquoi ils sont si lent à implémenter les modifications... :?

En fait, ils sont comme moi : Sous-capitalisé! :lol: :lol: :lol:
Quand on est à ce point en avance, il faut s'attendre à ce que la plupart des gens ne comprennent pas ce que vous faites.

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

04 mars 2018 19:58

Suite à la prise en otage louffoque de MT4 par un ransomware relatée par KlondikeFX de NTI :lol: , j’ai fait de mon mieux pour détailler en long et en large les protections possibles pour éviter en amont une telle dramaturgie.
@cooltrades a aussi vécu un ransomware au travail. Ca n’arrive pas qu’aux autres

https://community.darwinex.com/t/broker ... ondynamite

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

04 mars 2018 20:18

Par exemple, saviez-vous qu’il existe des petits logiciels malveillants qu’on appelle Screenloggers qui prennent des captures d’écran de votre bureau à intervalle régulier, sur commande ou sur le déclenchement de vos clicks de souris exclusivement ? La diffusion de cet espionnage se fait en direct sur le PC du pirate. En étant infecté à votre insu ainsi vous pouvez vous mettre la protection de l’IP prévue par Darwinex bien profond. Elle ne servira plus à rien. Le gars reçoit une capture d’écran de votre MT4 chez lui au moment même où vous passez un ordre.

https://youtu.be/iwTHp1duRSU

Il existe aussi des malwares enregistrant toutes vos frappes de touches (les keyloggers) ainsi que vos copier-coller presse-papier. Cibler votre mot de passe investisseur innocemment ?

Excès de parano ? Nonon, les menaces circulent et sont bien réelles, s’en convaincre.
Soyez certain d’être bien rasé et de parler d’une voix la plus mâle alpha qui soit, vos micro et webcam intégrées pourraient bien vous juger.

https://www.bolehvpn.net/announcement/m ... hould-you/

04AC00B3-46F0-4013-A68A-5888332072D5.jpeg
04AC00B3-46F0-4013-A68A-5888332072D5.jpeg (57.28 Kio) Consulté 4170 fois

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

26 mars 2018 15:16

Cette fois, je viens de me faire pirater mon compte Twitter

Malheureusement, contrairement à Twitter, Darwinex ne prévient même pas des connexions de tiers depuis un autre ordinateur ou une autre IP (vou pouvez essayer)
Dernière édition par Napoleon Dynamite le 26 mars 2018 20:58, édité 2 fois.

Napoleon Dynamite
Pro
Pro
Messages : 1642
Inscription : 04 juin 2017 15:26

26 mars 2018 15:49

Je n’avais pas appliqué le 2FA sur Twitter car ce n’était pas disponible avant et que ce ne fut qu’un ajout récent
https://www.theverge.com/2017/12/20/168 ... ity-update

Heureusement, j’avais pris soin de supprimer mon numéro de téléphone, ainsi que sur d’autres réseaux sociaux comme Facebook, car c’est une source de complication de fraude majeure.

Tout de même, si un site qui théoriquement ne véhicule pas des informations confidentielles de haute valeur (en dehors de discussion privées) comme Twitter se met à l’authentication multi-facteurs, cela témoigne qu’on entre une ère où il ya besoin de ne pus négliger ces aspects

Sauf que Darwinex fait l’autruche !

Moi ça me gonfle de savoir qu’un pirate peut se loguer à mon compte Darwinex sans même que j’ai l’occasion d’en avoir connaissance pour réagir (changer mon mot de passe) et que cet intrus puisse accéder à mes données de client comme mon nom, adresse etc

Ca ne vous interpelle pas que l’identité d’un pilote de Darwin puisse fuiter au grand jour ainsi aussi hasardeusement ? Moi si

Répondre
  • Information
  • Qui est en ligne ?

    Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités