Po převzetí btcpenezenka.cz komunitou Arbolet.net došlo ke zrušení starého systému a napojil se na peněženku od Arboletu. Rychlý převod se uskutečnil z důvodu zjištění, že stará BTC peněženka má mnoho bezpečnostních děr a od jejího vytvoření nedošlo k aktualizaci.
Zde je výčet několika (ale ne všech) bezpečnostních nedostatků:
- Možnost odcizení vašich Bitcoinů hackery, jednoduchými kroky. Jeden z příkladů uveden níže pod hvězdičkou*
- Server fungoval na nezabezpečeném protokolu HTTP a nevlastnil SSL certifikát pro použití HTTPS. Protokol HTTP není zabezpečen před sledováním nebo úpravou obsahu mezi uživatelem (vámi) a serverem (btcpenezenka.cz).
- Celý systém běžel na CMS WordPress, který byl neaktualizovaný a zůstal ve verzi 3.8 (aktuální verze wordpressu je 4.7, viz. https://codex.wordpress.org/WordPress_Versions), která je zranitelná vůči mnoha útokům a připraveným exploitům.
- Vaše „peněženka“ byla uložena jako obyčejný WordPress příspěvek (mezi novinkami), na který jste byl přesměrován po přihlášení, s adresou vaší peněženky v názvu příspěvku. Další vaše citlivé údaje byly lehce napadnutelné.
- Možnost zobrazení vaší bitcoin adresy pouhým zadáním ID článku vaší peněženky do adresního řádku, bez nutnosti přihlášení.
- Adresy byly uložené v databázi v tabulce, kde byla veškerá ostatní data uživatelů. Tzn. řádově tisíce adres bylo ztraceno v desetitisících záznamech.
* Po registraci byl uživatelům zaslán email s heslem, adresou peněženky i unikátním textem se slovy „Tento text si pečlivě uchovejte, jedná se o váš unikátní kód, kterým budete muset vždy potvrdit odchozí transakci nebo výplatu prostředků. Budete o něj požádáni vždy přes tento email. V případě ztráty tohoto textu nebudete mít možnost s vašimi Bitcoiny nakládat. Pečlivě si ho tedy poznamenejte nebo vytiskněte!!! Text nikomu neposílejte nebo nesdělujte. K jeho zadání budete vyzvání vždy pouze námi.„
Unikátní text byl ukládán do databáze nezašifrovaný s popisem, že se jedná o heslo k peněžence a kterému uživateli patří. K výběru bylo nutné vyplnit taky datum registrace, které je v databázi taktéž nešifrované hned vedle nešifrovaného emailu uživatele. Stačilo tedy nabourání pomocí exploitu do databáze a potencionální zloděj mohl ukrást vše z vaší peněženky.