Bitcoin Forum

Al parecer alguien ha logrado sacar de la base de datos de mtgox.com una lista con unos 60.000 nombres de usuario, sus EMAILS y el hash de su password.

Eso quiere decir que:

1) si usabas el password de mtgox.com en otros sitios, debes cambiarlos cuanto antes (ya están intentando entrar en ctas de gmail)

2) si tu password tenía menos de 8 caracteres, da por hecho que ya lo conocen.


MtGox además reconoce que:

1) una dirección con gran cantidad de BTC se puso a la venta  de golpe, tirando los precios al suelo.
2) que esa venta fue parte del proceso del atacante para robarse el dinero
3) que gracias al límite de transferencias de 1000 USD/día el hacker no ha podido lograr más que 1000 USD
4) que MtGox. reestablecerá las cuentas de sus usuarios al momento justo antes de esa gran venta.


Nunca es tarde ni repetitivo recordar que estamos en una fase beta. Estas cosas pueden pasar y se recomienda conocer bien el terreno que se pisa y tomar todas las precauciones de seguridad posibles.

Desgraciadamente parece que estas cosas son necesarias para que un sistema vaya mejorando y madurando. Sólo hay que tener cuidado y saber lo que se hace. Estoy convencido que a partir de hoy los mercados como mtgox, tradehill, etc. serán más seguros y profesionales.

EDIT: Unos cambios pequeños y sticky. ~fabianhjr

La base de datos se ha filtrado:

http://t.co/RYlObuM

Podéis buscar vuestro usuario y comprobar si el correo sigue siendo el mismo, o si ya os lo habían cambiado por otro y por tanto tenéis la cuenta más que hackeada. Las contraseñas están bajo md5 con hash, así que si eran muy largas y seguras, puede que te hayas librado. Si tenías contraseñas malas de 12 para abajo... miedito.

De todas formas hay gente con contraseñas de 20 caracteres aleatorios que también ha caído, así que es probable que el ataque se haya lanzado de diferentes formas y puede haber afectado a diferentes vulnerabilidades de algunos navegadores web. Por ejemplo, pinchando en algún enlace que haya robado tu sesión abierta en Mt.Gox y haya hecho transferencias automáticas...

¡ATENCIÓN!

Si tu correo electrónico aparece en esa lista, cambia inmediatamente la contraseña. Los atacantes ya han lanzado programas a la búsqueda de cuentas de gmail con la misma contraseña que en Mt. Gox.

Desde GMail me han redirigido automáticamente avisando que se había detectado actividad sospechosa en mi cuenta y me han obligado a cambiar la contraseña. He tenido que cambiar la contraseña, aunque en mi caso es obvio que no habían podido entrar. Estoy seguro que mi cuenta de Mt. Gox no ha sido afectada...

Esos 1000 dólares, si los sacas como BTC cuando el precio está a 0.01, se traducen en 100.000 BTC.

vamos a ver que pasa ahora que se cayo mtgox ... un golpe no grato para la comunidad.

Un par de datos más que han ido saliendo (https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback):

- aparentemente la brecha de seguridad no ha sido en el site mtgox.com ni es un ataque de SQL Injection o CSRF, sino que proviene de un ordenador personal de un auditor financiero con el que estaba trabajando MtGox y que tenía acceso a la base de datos.
- se pospone la reapertura al martes 21 de Junio de 2011, 02:00 GMT.

Mike Hearn, trabajador de Google en temas relacionados con la seguridad y miembro de la comunidad, ha indicado en este hilo (http://forum.bitcoin.org/index.php?topic=19641.msg245983#msg245983) que por precaución han obligado a restablecer las contraseñas de todas las cuentas de la BD de MtGox que utilizaban Gmail, lo cual no significa que hayan entrado en la cuenta o que la password de MtGox haya sido descubierta o crackeada.

La reacción de Google ha sido ejemplar para evitar que la filtración afecte a ninguno de sus usuarios, y aun así hay tontos que se han quejado y además de malas formas, de la medida tomada por Google. Deberían marcar sus cuentas y desactivar todas las medidas de seguridad de GMail para ellos... como son taaaaaaaaan profesionales y susceptibles, que se gestionen todo sus señorías... ¬¬'

Lo que no se sabe aun son las perdidas totales que pudieran haver.
Ya que es possible que en dolares los crackers solo pudieran robar la cantidad de $1000, es posible que en bitcoins la cifra sea muy superior, ya que segun tengo entendido no hay limites en las retiradas de los bitcoins.

Una  buena idea que escuche que van a implementar es la de otra contrasen~a para retir dinero de mtgox.

La gente tiene falsas idea de seguridad por ejemplo limitar los intentos de logeo es bueno, pero poner un numero de intentos de 1 o 2 logeos es mala idea, ya que es bueno motivar el uso de claves largas, por otro lado si no hay control de intentos de el logeo en un par de segundos se podran hacer miles de intentos de logeo y eso es malo.

Unos 5 intentos de logeo, con un tiempo de demora de unos minutos en caso de falla de clave seria buena idea, despues de todo ningun cracker va a esperar 10 minutos por ejemplo para hacer solo 5 intentos, eso seria un intento por cada 2 minutos, en cambio sin medidas de seguridad se pueden hacer miles de intentos por segundo lo cual es malo.

si la cantidad de intentos se limita a un intento esto es malo, ya que habra una tendendia a usar claves simples que son faciles de craquear a fuerza bruta.

http://forum.bitcoin.org/index.php?topic=20207.0

Esto empieza a apestar de verdad. Todo apunta a que la cuenta bitcoin de la que se ha sacado todo es, precisamente, la de MT Gox, y que por eso ha salido tan rápido a decir que se van a revertir todas las operaciones. Los argumentos son de peso como mínimo.

Credibilidad de la gente de MtGox --;

mi contraseña tenia el siguiente esquema:

##a#a#aa##***##

los # significa numero, las a significa que va una letra y los * significa que va un simbolo.
creen que sea lo suficientemente buena para aguantar un ataque por diccionario?

Sólo he leído el primer mensaje, y bastante por encima. Me parece que un tipo que ha sacado una pasta tan fácilmente, no se toma las molestias en preparar un mensaje tan largo, dirigido únicamente a quemar al mercado donde ha conseguido esa pasta.

Ese es un troll, o es de la competencia.

MtGox ha funcionado así siempre. Todas las operaciones internas se hacen fuera del sistema Bitcoin y llevan una contabilidad para conocer el saldo de cada cliente, como cualquier banco. Eso no es ningún problema, es la única forma de hacerlo.

Todo esto es una prueba por la que había que pasar y a mí no me preocupa (salvo por lo que algún periodista ignorante pueda llegar a contar) ya que no afecta la más mínimo a la seguridad de la arquitectura Bitcoin.

Bitcoin es infinítamente más seguro que cualquier otra moneda o commodity, no se puede falsificar, pero sí que se puede robar. Bitcoin es anónimo y en ese sentido funciona como el CASH. Cuando dejamos que un servicio online como MtGox guarde nuestros bitcoins es como si los pusiéramos en una caja de seguridad en un banco. Si los roban de ahí, los has perdido. Así que antes de elegir una caja de seguridad fuera de tu casa debes estar muy seguro de que no va a poder ser reventada. Cuando he comprado bitcoins en MtGox los he sacado de ahí rápidamente y tampoco he dejado saldo en dólares. No me puedo fiar más que lo justo de un servicio que no sabes quién lo gestiona ni cómo lo hace. La falta de transparencia no es buena si quieres tener la confianza de los usuarios. Todo este asunto del anonimato extremo no es bueno, pero deriva del mundo criptográfico en el que surge Bitcoin.

Si Tradehill quiere romper barreras, debe salir del anonimato y del misterio, coger el toro por los cuernos y operar con transparencia dentro de un marco legal. Bitcoin es dificil de clasificar dentro de una figura legal ya existente, pero ante la falta de una figura espefífica, debería acogerse a la de otras commodities como el oro o la plata.

Son pasos que hay que ir dando.

Lo primero que te recomiendo es no andar publicando es esquema de tu contraseña por que así sería mucho más fácil descifrarla con fuerza bruta.

Lo segundo es buena, siempre y cuando que no sea algo común, o por decirlo así, algo que otra persona también pudiera haber usado como contraseña, ya que muchos diccionarios se hacen a partir del robo de contraseñas no cifradas.

A mi me preocupa bastante la lista de cuentas publicadas, he mirando los MD5 se nota que hay usuarios que siguen usando cosas como abc123 o qwerty como contraseña, estamos hablado de dinero....

En la lista ví que había muchas cuentas de prueba o falsas, yo mismo también cree una para testar. En ese tipo de cuentas puedes usar ese tipo de passwords, sino no es así no tiene perdón. En MtGox usé una contraseña especialmente complicada,  y de 15 caracteres, algo que no suelo hacer con frecuencia.


Una buena idea es usar algo así para gestionar tus passwords:    http://passwordmaker.org/passwordmaker.html
con este sistema no se "guardan" tus password en ningún sitio.

Alguien tiene noticia, de cuanto demora el proceso de verificacion de mtgox?

yo ya inicie el proceso de verificacion, pero falta la parte final en donde finalmente te puedes logear a tu cuenta.

Si alguien sabe algo por favor informar aqui.

pues, buena suerte al listillo que intenté asociar ese esquema a uno de los tantos correos electrónicos dumpeados de mtgox :-P

LOL. No iba a decir nada, pero si insistes...

Tu esquema ##a#a#aa##***## es equivalente a ########aaaa***. 10 dígitos, 4 letras y 3 especiales hacen:

10^8 * 52^4 * 31^3 = 21782035225600000000 ≈ 2.1782e+19.

(He cogido 31 especiales, que son los caracteres entre 32 y 127 que no son letras ni números).

Todo el espacio posible es:

(10+52+31)^(8+4+3) = 336700862051614156853075413557 ≈ 3.367e+29.

Por tanto, con el simple hecho de haber publicado eso, has hecho tu clave 10 órdenes de magnitud más fácil de romper.

Eso unido a que "shackra" aparece en el CSV...

Pero mi cuenta de mybitcoin no tiene el mismo user. Además, en mtgox no tenía nada porque me lleve la sorpresa de que mi única manera de comprar bitcoins sería usando un servicio que no estaba disponible para mi país :-/.

La única manera que me roben algo (0.11 btc) es entrando a mi cuenta mybitcoin, cosa que dudo que logren a menos que crackeen el sitio :-|.

Debería este hilo seguir estando fijo?

A mi ya me robaron, mi error fue tener la misma contraseña en casi todos los sitios, me robaron de mtgox, me robaron de vircurex, ¿que puedo hacer? tenia como 14 bitcoins que me costaron muchisimo tiempo obtener, y ahora ya no puedo entrar a mi cuenta en mtgox, he intetado re obtener mi password pero el hacker supongo cambio mis datos y aunque solicito mi contraseña siemplemente no me llega. Esto paso apenas el fin de semana pasado, tal vez el sabado 11 de febrero de 2012. Estoy realmente triste, ¿que mas pudiera hacer?

Deberían desfijar este hilo, hace ya tiempo que pasó lo de MtGox y mejoraron mucho la seguridad.


Eso sí que debería estar fijo: Nunca jamás uséis la misma contraseña en todos los sitios. Os recomiendo esto, que os genera una contraseña diferente a partir de una contraseña maestra: Oplop (https://oplop.appspot.com/)

Por ejemplo, para obtener mi contraseña para entrar a este foro, voy a Oplop (https://oplop.appspot.com/), pongo "bitcointalk" en el primer recuadro, mi contraseña maestra en el segundo y obtengo algo como esto: uAv9hzjv

Ese sitio web es javascript (no se envía nada al servidor) y está el código para bajar, así como versiones para móviles.

Muchas gracias por el detalle :)

que mal

Ojo!, que esto es de 2011

pues yo empece a farmear en el 2012 y tenia 50 euros, entraron en mi cuenta, comparon bitcoins y los mandaros a una direccion. y mi contraseña tenia numeros y letras bastante dificil de crackear. me da a mi que hay gato encerrado.

¿Es posible que tengas un troyano keylogger o algo por el estilo?

En cualquier caso te recomiendo un yubikey. A mi me dieron uno gratis en marzo por la creciente cantidad de robos. Con un yubikey (o cualquier otro método de autenticación de 2 factores) no pueden entrar a tu cuenta ni aunque tu ordenador esté comprometido. Es un pincho USB que simula ser un teclado y genera una clave de un solo uso al pulsar su botón.

+1000

Hasta ayer he usado el GoogleAuth y ahora que tengo mi yubikey uso los dos, de esta forma no importa si pierdes o rompes uno de los dos.