Bitcoin Forum

Was für ein netter Samstagmorgen.
Heute morgen hat jemand versucht in meinen Mt.Gox Acc. einzudringen.  >:(
Der Angreifer hat das Passwort zurückgesetzt, scheiterte aber lt Support an der 2FA (was ich nicht verstehen kann, da mein Mailaccount auch mit 2FA geschützt ist und derjenige nur über den Link in der Mail von Gox, das Passwort zurücksetzen konnte).
Habe 40 Minuten nach dem Angriff den Mt.Gox Support kontaktiert, welche sofort alle withdrawals gesperrt haben.
Laut Aussage des Supports fanden bisher keine withdrawals statt.
Bin jetzt von meinem Acc für die nächsten 24h ausgesperrt und bekomme hoffentlich, bis dahin, keinen Herzinfarkt.

Die IP des Angreifers lautete: IP:67.165.253.176
Das schräge an dieser IP ist, das sie von einer Behörde in Denver stammt!?!
Ist es bisher schon jemandem ähnlich ergangen? wenn ja, klärt mich auf, wie so etwas möglich ist, bzw wie es ausgegangen ist.
Danke im Voraus.

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Das grenzt die Suche nach dem Übeltäter ein. Er arbeitet bei der NSA.  ::)

Wieso glaubst Du das? Hast Du irgendwelche Belege dafür. Vielleicht hast Du einfach nur Dein Passwort vergessen?


Wiso geht der Support davon aus? Ein paar mehr Informationen wären nett.


Ich verstehe das Ganze überhaupt nicht. Wie konnte denn jemand Dein Passwort ändern, wenn Du 2FA benutzt? Was verwendest Du? Den Yubikey von Gox oder Google?

Besitzt Du vielleicht einen API-Key der kompromittiert wurde?

Also so wie Du es bisher darstellst kann ich nicht nachvollziehen, was überhaupt passiert ist. Wie war denn die chronologische Abfolge der Ereignisse?



Woher willst Du das wissen? Woher hast Du die IP?


Das ist eine Comcast-Adresse wie es einem schon eine DNS Anfrage zeigt: c-67-165-253-176.hsd1.co.comcast.net

Wie kommst Du darauf, dass dies die Adresse einer Behörde ist?


Wir wissen ja überhaupt nicht, was passiert ist. Hast Du die Passwortrücksetzung selbst initiiert und vermutest jetzt, dass jemand die Mail mit dem Link zur Passwortrücksetzung abgefangen hat?

Sorry, ich kann aufgrund Deiner Informationen nur raten.

Ja habe die E-mail Passwörter geändert und alle Passwörter von den anderen Exchanges.
Was ich nicht verstehe ist, wie es möglich ist, die 2FA des E-mail accounts zu umgehen.
Trade auf einem komplett leeren Netbook (mit original Kaspersky IS2013), dass ich nur zum Traden verwende.

Leeres Netbook, 2FA, aber ein schwaches Passwort?  ???

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Ich verstehe immer weniger.  :P

Ich habe geschlafen(Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub), als jemand ein neues Passwort angefordert hat(09:39).
In der Mail ist ganz unten angezeigt:

The request was made from :

IP:67.165.253.176

Browser: Opera/9.80(WindowsNT6.1;WOW64) Presto/2.12.388 Version/12.15

Bin um 10:15 aufgewacht und habe am Telefon eine E-Mail gesehen und geöffnet und da sie von Mt.Gox kam und etwas von "recover password" stand.
Habe sofort versucht am Netbook meinen Mt.Gox Account zu öffnen, ging nicht, da falsches Passwort.
Habe um 10:18 sofort den Support kontaktiert und um 10:23 kam die erste Mail.
Der Support hat sofort die withdrawals gesperrt und da sie auf meine 3. Frage dann kein mail mehr schickten, öffnete ich den Support chat.
Nach 1 Minute meldete sich Linda vom Support und wir haben ungefähr 30 Minuten gechattet und sie hat mir gesagt, dass bisher keine withdrawals stattfanden und der Angreifer über den Link in der E-mail mein Passwort geändert hat, aber dann anscheinend am 2FA scheiterte.
Dadurch, das es pro Tag nur einmal möglich ist ein "password recovery" anzufordern muss ich jetzt bis morgen warten um ein neues Passwort zu machen, um in meinen Acc zu gelangen.
Verstehe es auch nicht wie derjenige in meinen E-Mailacc kam.

Ich verwende den Google Authenticator und verwende 24-stellige Passwörter aus Buchstaben,Zahlen,Zeichen, welche keinerlei Sinn ergeben.
Zu schwaches Passwort war es sicher nicht.

Auf das zur bei Mt Gox Registrierung benutzte Postfach. Entweder gibt es eine Methode um den Passwort-Reset ohne den Reset-Link aus der E-Mail zu forcieren oder jemand war im E-Mail Postfach. Sollte es eine Googlemail Adresse gewesen sein : Du kannst im Posteingang unter rechts unten irgendwo Kontoaktivitäten einsehen. Dann könnte man wirklich sagen ob jemand im Postfach war.

Übrigens erging es heute anscheinend nicht nur mir so, im Wall Observer hat vor einer halben Stunde, einer das selbe geschildert.

Edit:Sind anscheinend mehrere bis jetzt, bin da wirklich nicht der einzige.

Ist eine Hotmail Adresse.

Da Du Kaspersky IS2013 nutzt, gehe ich davon aus, dass Du von einem Windows-System aus trades, also von einem extrem leicht zu kompromittierendem System. Ich empfehle Dir die Verwendung eines schwerer zu kompromittierendes System wie Ct Bankix. Das kann man zwar sicherlich auch knacken, aber es dürfte zumindest nicht jeder 12-Jährige schaffen.

Okay. Das war Dein erster Fehler. Verschaffe Dir erstmal einen vernünftigen Mailaccount. Das ist übrigens ohne technische Kenntnisse gar nicht so einfach. Hätte ich keine andere Möglichkeit, würde ich vermutlich sowas hier nutzen:

https://posteo.de/

Verschaffe Dir einfach insgesamt mehr Sicherheit über Dein Mailpostfach und Dein eingesetztes Betriebssystem.

Da ist es dann interessant wo die Gemeinsamkeiten liegen, um evtl. herauszufinden über welchen Weg der Angriff erfolgte. Vielleicht wurde nur Dein Hotmail-Account gehackt. Dann hättest Du noch Glück gehabt.

Einer der Betroffenen vom Wall Observer hat mir in einer PM geschrieben, er nutzt Linux und einen bezahlten Mailanbieter.
Im Grunde keinerlei Gemeisamkeiten, außer Google Authenticator als 2FA und die hat anscheinend auch bei ihm gehalten.

Gibt es bei hotmail, bzw Outlook die Möglichkeit eine Login Historie einzusehen?

Na ja, eine Hotmail-Adresse ist so schwer zu hacken wie ein Keks. Kenne viele Leute mit gehackten Hotmail-Adressen. Der Angreifer war im Postfach, hat dort Mails von Gox entdeckt und dann einfach mal das Passwort zurück gesetzt. So meine Theorie. Ich würde für Mt. Gox niemals einen Freemailer nutzen.

Wende Dich vertrauensvoll an Microsoft, siehe z.B.:

http://answers.microsoft.com/en-us/windowslive/forum/liveid-wlsecurity/hotmail-login-history-ip-address/b1735be5-c477-4567-8dca-92a19f483975

Okay, das erklärt einiges. Ich kenne viele Leute mit gehackten Hotmail-Accounts. Allerdings war in vielen Fällen auch ein Heimsystem kompromittiert, wo das Passwort für den Mail-Account wahrscheinlich über einen Keylogger mit geschnitten wurde. Wie wahrscheinlich das in Deinem Fall ist hängt davon ab wie sicher Hotmail inzwischen ist. Meine Informationen liegen Jahren zurück. Da war Hotmail offen wie ein Scheunentor. Falls Microsoft da nachgebessert hat, geraten eher Geräte bei Dir zu Hause in Verdacht.

Ich würde Dir empfehlen sämtliche Systeme neu aufzusetzen inklusive Deines Telefons und vorerst nur noch über einen Ct. Bankix USB-Stick auf Deinen Gox Account zuzugreifen. Generell ist das sowieso das beste. Dadurch laufen 99,9% aller möglichen Angriffe ins Leere und Du musst jetzt erstmal nicht einen riesen Aufwand treiben. Und besorg Dir in jedem Fall einen neuen Mailaccount.

Verstehe. Besitzt Du bei Gox einen API-Key, der missbraucht worden sein könnte?

Eine Möglichkeit die mir noch einfällt wäre eine klassische Cross-Site-Scripting-Attacke. Dafür wäre nur der verwendete Browser und neben Gox noch weitere geöffnete Seiten ausschlaggebend.  

Danke für den Tip mit dem Ct. Bankix USB-Stick, ebenso für https://posteo.de/
Werde ich mir jetzt mal genauer anschauen und dann alles neu aufsetzen.

Nervt aber gewaltig, da ich mein WE anders geplant hatte.

Was ist ein API-Key?
Verwende keine Bots oder so.

Werde auch den Usernamen von Gox auf eine beliebige Zahlen/Zeichen/Ziffern-Kombi ändern, falls das nachträglich möglich ist.

Ja, den brauchst Du für Bots. Wenn Du das nicht nutzt ist dieser Punkt abgehakt.

Wenn Du Ct Bankix einsetzt hast Du erstmal nicht den Druck sofort alles neu machen zu müssen. Das Beste wäre, wenn Du Dir bei einem Freund, der eine sichere Umgebung hat, einen Ct Bankix USB-Stick erstellen lässt. Ansonsten mach doch einfach mal einen Ct Bankix Stick an Deinem jetzigen System. Selbst wenn Dein System kompromittiert ist, ist es eher unwahrscheinlich, dass der Angreifer darüber auch das Bankix kompromittiert (unmöglich ist es freilich nicht).

Ganz astrein ist die Lösung natürlich nicht. Nach meiner Erfahrung macht man aber Fehler, wenn man Systeme ungeplant neu aufsetzt. Man sollte sowas immer in Ruhe und vor allem auch mit etwas Freude machen. Konzentriere Dich also auf Ct Bankix und verbringe Dein WE ansonsten wie geplant. Ich nutze für Bankix übrigéns einen USB-Stick mit Schreibschutz:

http://www.amazon.de/Imation-manueller-Schreibschutz-natralock-Blister/dp/B005AAQH7U

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Zephir hast du zufällig deine Hotmail-Adresse auch auf einem Smartphone ? Android oder iOS ?

Und hast Du herausgefunden über welchen Weg der Angriff erfolgte?

Also meine Nachforschungen haben ergeben das mein System sauber ist. Hab es zur Vorsicht danach neu aufgesetzt.  Ich hab allerdings ne komische PM bekommen  in der ich gefragt wurde ob ich meine Meinung in einem Thread abgeben wollte und auf den Link geklickt, dabei wurde ich auf eine Phishing-Seite geleitet. Das hab ich sofort gemerkt und meine Login-Daten natürlich nicht eingetragen. Andere Vermutungen oder Erkenntisse hab ich nicht.

Ein valider Einwand. Ich spreche aus Erfahrung, aber die liegt eben schon ein wenig zurück. Wenn 2FA bei Freemailern inzwischen Standard ist, habe ich definitiv was verpasst. Ich persönliche verwalte meine Mails schon seit Jahren privat auf meinen eigenen Mailsystemen.

einer von 500,000 die die entsprechende clearance haben, lol

wenn man recht drüber nachdenkt, sollte eigentlich die Option bestehen, daß passwort-reset-links nur verschlüsselt per email verschickt werden.

Ja, bis vor ein paar Stunden hatte ich noch Zugriff darauf, von meinem Smartphone(Android4.xx), habe ich aber mittlerweile entfernt, weil ich anscheinend die selben Bedenken hatte, wie du.
Wüsstest du sonst einen Mailanbieter der relativ sicher ist (mit 2FA,Yubikey,etc.)?
Kosten spielen, gerade bei dieser Sache, nur eine untergeordnete Rolle.

Von Freemailern weiß ich da nur outlook.com (ehemals hotmail) und Googlemail mit 2FA.

hm? 2FA bei email? Wie geht das dann mit imap/pop3?

hä? Also wurde dein mailaccount doch gehackt?

Einmalpasswörter oder application specific passwords, wie Google die nennt. Aber sicher sind die nicht , darum benutze ich auch nur die Weboberfläche. Für private Mails hab ich nen komplett anderen Mailaccount mit IMAP.

Ich kann derzeit nur vermuten, dass der Angreifer es in meinen Hotmail Acc geschafft hat, anders hätte er, glaube ich, nicht Zugriff auf das Passwort reset bei Gox gehabt. Es sei denn, er hat es irgendwie abgefangen.
Warte noch darauf, dass der Support von Microsoft, mir die Liste mit den IPs sendet, die heute auf meinen Mailacc zugegriffen haben.

Ist die Passwort Reset Mail von Mt Gox zufällig in deinem Mülleimer ?

Ich denke, dass bezieht sich nur auf das Webmail-Interface. POP und IMAP-Server haben gewöhnlich ein höheres Sicherheitsniveau, zumindest unter Linux. Einen Dovecot IMAP-Server hackt man nicht mal so eben.

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Nein, das ist ja das seltsame, die Mail war noch ungeöffnet.
Hätte derjenige sie sofort nach dem Ändern des Passworts gelöscht, hätte ich es erst bemerkt, wenn ich mich wieder bei Gox angemeldet hätte.

Dann hast du warscheinlich zu schnell reagiert oder er hat die Mail mit Absicht auf ungelesen gestellt. Mein Eindringling hat die Mails gleich hübsch in den Papierkorb verlegt.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe vergibt. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

Kann man die 2FA von Gox ohne den API-Keys eigentlich knacken?

Mhm, was für weiteren Schutz sorgen könnte , wäre ein E-Mail-Client und E-Mail-Provider mit Unterstützung für einen Yubikey oder einem anderen physikalischen Token, diesen sollte man sich nicht klauen lassen. ;-)

Kennt jemand einen Mailanbieter der so einen ähnlichen Ansatz schon unterstützt?

Na ja, wenn Du eine Sicherheitslücke in deren Software kennst/findest, die Dich auch ohne gültiges Yubikey- oder Google-Einmalpasswort passieren lässt, klar. Klassisch läuft sowas über Stack-Overflows oder SQL-Injections. Wenn die Software verwundbar ist, nützt Dir auch das beste Hardwaretoken (Yubikey) nichts.

Ein weiterer Angriff besteht im Abgreifen vorgenerierter Einmalpasswörter.  

Verwendest du dein Passwort nur 1x für Hotmail ? oder bei mehreren Seiten das gleiche PW ?
Gox Pw zurücksetzen ginge (sollte ja) auch ohne Zugriff auf den Mailaccount.
Bei welchen Seiten hast du dasselbe Passwort benutzt ?
musst nicht alle Seiten aufzählen nur die Anzahl evtl. oder die verdächtigen Seiten, wo du denselben USER / MAIL wie bei Gox benutzt hast.
offensichtlich hattest du ein anderes Passwort bei Gox, aber auch ein anderes als bei Hotmail ?

Verwende keine Einmalpasswörter.
Für jedes Passwort, dass ich irgendwo verwende, wo es um sensible Sachen geht, nehme ich ein Post-it zur Hand und schreibe 20-30 versch. Buchst./Zeichen/Zahlen auf. Dann hefte ich mir den Post-it auf meinen Bildschirm und im Normalfall kenne ich das Passwort nach einer Stunde spätestens auswendig. Danach wird der Post-it verbrannt, sollte also relativ sicher sein.
Nervig wird es, wenn es so wie heute ist und ich mir jetzt mehr als 5 neue Passwörter auf einmal merken muss, da benötige ich die Post-it länger.
Hatte bisher noch nie das Problem, dass ein Passwort oder Zugang kompromittiert wurde, bisher haben die Passwörter noch allem standgehalten. Bin unendlich froh, dass ich mich Anfang dieses Jahres von einem Kollegen zu 2FA überreden ließ.
Bin jetzt aber trotzdem noch misstrauischer dem Ganzen gegenüber als vorher und werde, wie von dir empfohlen nur mehr mit dem c't Bankix traden. Hab mich auch mit einem Kollegen in Verbindung gesetzt, der mir am Montag das Netbook neu aufsetzt(Linux) und mir auch das mit dem c't Bankix zeigt und erklärt.
Danke für Alles.
MfG

Edit: Verwende auf versch. Seiten nicht 2x das selbe Passwort(Wie dämlich wäre das denn?).
        Achja, leider sind bei Hotmail zB nur 16 Zeichen möglich, also bei denen so viele wie möglich.

Noch ein Tipp: Lass Dir von Gox einen Yubikey schicken. Ich glaube, wenn Du im Sicherheitscenter auf hinzufügen eines Yubikeys gehst, gelangst Du darüber auf die Bestellseite. Bisher hat er Yubikey inklusive Versand immer 0€ gekostet, war also kostenlos. Gox schickt Dir den Key dann direkt aus Japan. Waren in diesem Wert sind zollfrei, so dass Dir keinerlei Kosten entstehen.

Respekt. So paranoid bin nicht mal ich.

Da hilft mir mein "fast photographisches Gedächtnis" dabei.
Als ich damit vor 15 Jahren oder so anfing, tat ich mir noch schwer damit, mittlerweile ergibt sich in meinem Kopf automatisch ein Muster, dass die einzelnen Symbole so miteinander verbindet, dass sie für mich einen Sinn ergeben.
Hilft auch ungemein im Alltag, man vergisst kaum etwas, aber wehe du stellst dich mit deinem Namen bei mir persönlich vor, den merke ich mir nach dem 5.Mal dann immer noch nicht.

Und wenn ich WaiR7shel4eimeech4Eezeub8 heiße?  :D

Hab von Gox einen Yubikey geschenkt bekommen, mich aber damit nicht näher befasst, dachte mit der 2FA ist es sicher genug.
Erhöht ein Yubikey die Sicherheit, gegenüber der 2FA oder ist es annähernd das selbe?

Am meisten froh bin ich, dass ich seit gestern bei 101.5$ mit 90% in FIAT bin und keine offenen Order mehr habe.
Ist vielleicht besser so, heute nicht zu traden, zu unsicher wohin es gerade geht.

kA ob das sicherer ist .... eine antwort darauf wäre sicherlich hilfreich habe heute auch einfach mal einen bestellt ...

Der Yubikey wird auf Gox auch zur 2FA eingesetzt. Du gibst dann zuerst Dein normales Passwort ein und betätigst danach den Yubikey, der ein Einmalpasswort generiert und auf der Standardausgabe ausgibt. Ich persönlich finde das wesentlich komfortabler als alles andere.

Zur Sicherheit: Da es sich beim Yubikey um ein echtes Hardwaretoken handelt ist das natürlich grundsätzlich sicherer als eine Softwarelösung wie die von Google. Natürlich musst Du den Yubikey sicher aufbewahren. Aber ein Angreifer aus dem Netz, der irgendwo auf der Welt zugange ist, hat wohl kaum eine realistische Möglichkeit an Deinen Yubikey zu kommen.

Da dein Hotmailpasswort nicht geändert war und 2FA aktiv, dürfte es sicher sein, das deine Systeme komprimittiert sind. Wie du sagtest, ist dein PC sowie dein Smartphone mit Zugriff auf Mailaccount ausgestattet. Moderne Bankingtrojaner sind drauf ausgerichtet, beim Verbinden der Geräte das jeweils andere zu infizieren. Dadurch ist auch 2FA komprimittiert. Vorallem weil der Key bei Softwarelösungen in Klartext in der Registry steht.

2FA ohne zusätzliche unabhängige Hardware ist den Aufwand nicht wert. Genauso wie dein Riesenpasswort die selbe Sicherheit wie 1234 hat. Da du der Meinung warst, alles nur technisch machbar unternommen zu haben, dich zu schützen warst du unvorsichtig, weil du meintest das die Technik dich schützt.

Statt also dich weiterhin mit paranoiden Einstellungen am PC zu geiseln, überlege dir lieber wie es sein konnte das dein Rechner verseucht wurde und zwar so, das sogar dein Virenscanner nichts davon mitbekommen hat. Da dies wohl mehr an deiner Handlungsweise als an der Technik liegt, nutzt dir wohl auch kein gehärtetes OS(so nennt man auf extreme Sicherheit ausgelegte Systeme).

Fakt ist jedenfalls, das der Täter dein Passwort und die 2FA für Hotmail hatte. Er musste ja kein Passwort ändern. Hast du in einem anderen Programm oder Dienst eine Komfortoption für dein Mailkonto eingerichtet? zB das man im Browser sieht wenn eine neue Mail da ist oder bei Google+ oder Facebook eine Querverbindung, so das Facebook deine Adressen auslesen kann zum sync in der Freundesliste. Das alles sind Lücken, über die man den Zugriff in den Mailaccount durch die Hintertüre bekommt. Ein direktes Hacken des Accounts ist unwahrscheinlich, da selbst Hotmail nur wenige Passwortfalscheingaben zulässt.

Vielleicht lag es auch einfach an:
?

Kann den besten passieren ;)

NEWS zum Topic

https://bitcointalk.org/index.php?topic=255630.0

Ja, leider wiegt man sich zu oft in falscher Sicherheit, aber ich bin ja nicht der einzige, dem das heute passiert ist.

Wie ich schon geschrieben hab, ist es ein Netbook mit keiner anderen Software außer Kaspersky und win7 als Betriebssystem.
Die 2FA hat ja bei Gox standgehalten, soll heißen, der Angreifer hat, laut support, mehrmals versucht ein 2FA Passwort einzugeben, ist aber daran gescheitert.
Habe von Microsoft eine Liste aller IPs, die sich in meinen emailacc. eingeloggt haben, angefordert, aber derzeit noch keine Rückmeldung erhalten.
Ich vermute eher, dass die Email von Gox abgefangen werden konnte, da sie die recover passwort mails clear versenden, kann aber auch anders gewesen sein.

War in meinem Leben noch nie auf Facebook, Google+,Twitter,etc. auch kein Onlinebanking.
Habe nur vor kurzem für einen chat mit candoo einen alten skype acc.(lange vor Microsoft) reaktiviert, war aber auf einem anderen Computer, und habe ihn mittlerweile wieder stillgelegt und deinstalliert.

Zum surfen oder arbeiten habe ich andere Laptops oder Computer, dieses Netbook ist nur zum traden.
Ebenfalls habe ich heute die Kontoverknüpfung zur Smartphone outlook app aufgelöst, falls da was gewesen sei.

Ich werde OhShei8es Ratschlag beherzigen und ab morgen nur mehr mit dem c't Bankix traden.
Und wie ich schon schrieb, tu ich mir mit dem merken der Passwörter nicht schwer und besser als 1234 sind sie auf jeden Fall.

War mir aber auf jeden Fall eine Lehre auf meine eigene Einschätzung bezüglich der Sicherheit zu vertrauen und werde mich am Montag von einem Kollegen unterweisen lassen, auf was ich noch alles achten muss.
Aber Danke für deinen Reply Chefin.
MfG

;D
Dabei hätte mich gestern nach dem Grillen (viel zuviel Knoblauchsosse) und dem ganzen Bier und Schnaps, nicht mal meine eigene Frau angegriffen, geschweige denn eine Andere.

Auf reddit finden sich auch noch ein paar Leute, denen es so ergangen ist.

http://www.reddit.com/r/Bitcoin/comments/1i7ydk/psa_reminder_do_not_store_anything_of_value_at_a/

So einfach ist das nicht, wenn Du nicht gerade für die NSA arbeitest. Du musst ja erstmal dazwischen kommen. Bei unseren heutigen geswitchten Netzwerken ist das nicht so trivial. Und gezielt Datenpakete abfangen kann ein Normalsterblicher sowieso nicht. Das ist wirkliche eine Ebene, auf der nur die Geheimdienste arbeiten. Ist schon sehr merkwürdig. Am ehesten könnte ich mir noch vorstellen, dass ein Techniker der für Gox das Netzwerk oder die Server betreibt so etwas macht. Für den wäre es leicht.

Andererseits, wieso soll es bei der NSA nicht Kriminelle geben, die gezielt nach solchen Mails suchen. Soviel verdienen Leute wie Snowden nun auch wieder nicht und manche Menschen sind schlicht habgierig oder haben Schulden.

Ich hoffe Du bekommst von Microsoft die Liste. Gib uns dann bitte mal Bescheid.


Das ist IMHO schon mal mehr als 90% der Leute machen und eigentlich bist Du damit auf der sicheren Seite. Eigentlich.


Das wäre so die Idee, dass der Angreifer da angesetzt hat. Er muss irgendwo irgendwie ja an die Mail gekommen sein. Sonst hätte die Passwortrücksetzung ja keinen Sinn gehabt.

Die Passwortrücksetzung bei Gox sollte so geändert werden, dass zuerst eine Mail kommt, dass eine Passwortrücksetzung angefordert wurde. Die Mail mit dem Link sollte dann erst 24h nach der Info-Mail verschickt werden. Man sollte den Passwortrücksetzungsprozess in der Zwischenzeit abbrechen können. Und man sollte die Passwortrücksetzung für den eigenen Account im Security Center auch ganz ausschalten können. Ich persönlich brauche sowas nicht und Du mit Deinem Gedächtnis ja erst Recht nicht.

Also bis jetzt ist das Wahrscheinlichste, dass das E-Mail-Passwort kompromittiert wurde. Das erklärt auch, warum bei allen eine Passwortrücksetzung initiiert wurde. Ist aber schon merkwürdig woher die Kriminellen wissen wer ein Gox Kunde ist.  

Ich habe mir bisher eingehende Mails auf mein Smartphone weitergeleitet. Natürlich auf einen separaten Mailaccount. Hab das jetzt abgeschaltete und werde in Zukunft nur noch eine Mail an mein Smartphone senden, dass eine neue Mail eingegangen ist. So hat ein Angreifer zumindest an dieser Stelle keine Chance. Die Smartphones sind halt so sicher, dass man einfach nur das kalte Grausen kriegt.  :(

Im Grunde ein bodenloser Leichtsinn damit sensible E-Mails zu verarbeiten. Habe ich aber bisher auch getan.  

Das wäre eine richtig gute Lösung gegen solche Probleme.

Und wegen den Smartphones, man muss sich nur die ganzen Berechtigungen ansehen, die beinahe jede App schon fordert, da wird man ja irre, wenn man an alle Eventualitäten denkt.
Hab im Ganzen nur an die 15 Apps am smartphone, ohne die das Telefon umsonst wäre und selbst bei denen, bin ich, nach heute, wieder skeptischer.

Was ich nicht verstehe: Die normale Reaktion wäre doch gewesen sofort auf den Passwort-Reset Link in der Mail zu klicken um den halbfertigen Resetvorgang *selbst* zuende zu führen und damit die Kontrolle wieder an sich zu reißen. Hast Du das nicht als erstes versucht?

Ich habe die Mail am Handy gelesen, ca. 10 Sekunden nachdem ich aufgewacht bin, da mein Mädel mich angerufen hat und ich nicht schnell genug zum Tel kam.
Würde mich nie mit dem Smartphone auf Gox oder bstamp,etc einloggen.
Habe dann mein Netbook eingeschaltet und mich versucht einzuloggen, was nicht ging.
Dann Email am Netbook geöffnet und selbstverständlich zuerst selbst versucht, über den Link, in meinen Account zu gelangen, was mir verwehrt wurde.
Bis dahin war ich erst 3 Minuten wach.
Dann Support gemailt, und der Rest steht am Anfang des Threads.

Habe mir den englischen Thread durchgelesen, der mMn etwas zu übertrieben geschrieben ist, da der Support sich bei mir sofort gemeldet hatte und ich dann ca 30 min mit Linda vom Supp gechattet habe.

Arg finde ich, dass über den User ivanc in dem Thread so hergezogen wurde und ihm fast keiner glaubt.
Würde in so einem Fall einem Mod Screenshots des chats bzw. der Mails senden.

Edit: Die mail war zu dem Zeitpunkt als ich aufwachte ca.35 Minuten alt.

Wie kann man denn im Support Chat chatten ohne eingeloggt zu sein?

Ja das ist die Hölle, aber leider sind die Dinger ultra-praktisch.

Eine Frage: Steht im Betreff der Passwortrücksetzungsmail der Rücksetzungscode?

Hintergrund meiner Frage: Ich leite Mails zu meinem Smartphone jetzt nur noch mit Betreff aber ohne den Inhalt weiter. Wäre natürlich sinnlos, wenn der Rücksetzungscode bereits im Betreff stünde.

Der Support-Login ist komplett getrennt vom übrigen Account. Macht irgendwie Sinn oder?  ;)

Indem du Ihnen deinen Accnamen und die Emailadresse sagst.
Geh auf Mt.Gox.com und klick auf die Sprechblase ohne dich einzuloggen.
Das aufheben der Sperren, oder das erhöhen der Limits geht evtl nur eingeloggt.

Im Betreff der mail, steht nur: [Mt.Gox] Recover Password
Der Reset key steht erst in der Mail, oder du klickst auf den Link, dann ist der key schon auf der Seite von Gox, die sich öffnet, eingegeben.

Mt.Gox sollte mal einführen, dass man eine fixe BTC Adresse zum auszahlen eingeben kann. Die wird dann "locked" und ein Dieb kann die BTC dann nicht auszahlen, bzw nur auf eine feste Adresse.

Änderungen müssten dann  7 Tage verzögert werden mit warnung per email oder so. Privatekey verlieren= 7 tage warten:P

Gute Idee. Ja, da könnte man einiges tun.

Hab mein Passwort, gerade eben, zurücksetzen können.
Wie mir der Support, gestern schon, versichert hatte, konnte der Angreifer nicht auf meinen Acc zugreifen.
Die 2FA hat also wirklich standgehalten, bezüglich des E-mail accs, weiß ich noch nichts, da MS anscheinend am Wochenende keine Supportanfragen beantwortet, bzw. hab ich von denen noch nichts gehört.

Alles war unverändert, nichts wurde behoben, keine Coins und auch kein Geld, Wochenende gerettet.
Bin wirklich froh, dass diese Sache, so ausgegangen ist, man rechnet in so einem Fall, ja doch irgendwie mit dem Schlimmsten, auch wenn einem versichert wird das Alles safe ist, solange man es selbst nicht überprüft hat...

Kann auch dem Mt.Gox Support, nur mein Lob aussprechen, dass sie sich so schnell, um mein Anliegen bemüht haben und sofort Alles gesperrt haben.

Muss aber auch sagen, dass, wie einige hier schon erwähnt haben, Mt.Gox die Sicherheit erhöhen muss.
Passwort Resets clear in einer E-mail zu versenden, geht bei so etwas eig gar nicht.
Ebenfalls sollten sie nach einem Reset, automatisch, die Auszahlungen für einen gewissen Zeitraum sperren(24h oder sogar 7d).
Ideen wären ja einige vorhanden um die Sicherheit zu erhöhen, evtl hilft es ja, Magical Tux, hier im Forum mal darauf anzusprechen.
Ich werde in nächster Zeit sogar die withdrawal limits auf 0 belassen, bis ich mir relativ sicher bin, was da genau abging, bzw. wie ich so etwas, falls es mein Verschulden war, in Zukunft verhindern kann.

Möchte mich nochmals für die Anregungen bedanken, da man ja nie auslernt und für die Zukunft hoffen, dass sich so etwas vermeiden lässt.

Schönen Sonntag euch Allen.

Mann das ging ja schnell.
Hab in den Account settings gerade gesehen, dass sich bei Mt.Gox bezüglich der Sicherheit schon was getan hat.
Wenn man jetzt ein neues Passwort anfordert, werden withdrawals automatisch für 24h gesperrt.
Sie bemühen sich ja.

Schickt MtGox vielleicht die E-Mails per SMTP ohne SSL raus und ein gelangweilter Techniker bei deren ISP hat mal eben seinen Laptop an der richtigen Stelle angestöpselt um alle ausgehenden MtGox E-Mails abzufangen noch bevor sie überhaupt bei irgendeinem SMTP eingeliefert werden? Wie sonst könnte ein Angreifer massenhaft Kenntnis vom Inhalt aller MtGox Passwortrücksetzungs Mails erhalten ohne jeden User-PC oder jeden Mailaccount einzeln zu knacken?

Das Problem liegt natütlich am Benutzer.

Es läuft doch immer nach dem gleichen Schema ab:
1. Windows ist Schuld, der zeitlose Klassiker schlechthin. Kann ja der hacken!
2. Der Emailanbieter ist scheiße. Auch für jeden easy hackbar.
3. Das Passwort ist unsicher. Immerhin sind Passwörter a la E@*fH9_xBKhgY@jf5.5Ah/JA5gV*,C[Ce?JNKJ?@\]]JW*Qs%m nicht sicher, weiß man doch  ::)
4. Die Regierung ist schuld.

Wer Sarkasmus entdeckt gewinnt einen Blumentopf.

Naja, das schwächste Glied in der Kette ist natürlich der Benutzer. Und ich vermute dass Android hier der gemeinsame Nenner sein könnte. ;-)

Sarkasmus entdeckt !

Darf ich dir jetzt ein schlechtes Trustrating geben wenn du mir jetzt keinen Blumentopf schickst ?

Nein, ich wollte eher folgende Frage in den Raum werfen:
Wenn ein Angreifer plötzlich auf die Idee kommt **massenhaft** Passwortrücksetzuns-Mails zu initiieren dann muss er doch einen Grund haben das zu tun, er muss dann doch einen Weg gefunden haben die Mails auch massenhaft zu lesen **ohne** noch umständlich jeden Mailaccount einzeln aufmachen zu müsen.

Wenn ich jetzt dem User einfach mal für ne Sekunde lang glaube daß tatsächlich niemand außer ihm selbst die Mail auf **normalem** Wege gelesen hat (normal = von irgendwoher ins gmail eingeloggt mit funktionierendem oder gestohlenem oder geratenem passwort) und dass sein Windows tatsächlich **nicht** trojanisiert ist dann stellt sich doch sofort die Frage: Wie ist der Angreifer dann an den Passwortrücksetzungscode gelangt?

Oder geht es vielleicht auch **ohne** den code, gibts hier vielleicht eine Lücke im Rücksetzungsvorgang so daß man die Mails gar nicht braucht, vielleicht leakt der code an anderer Stelle? Ich hab ja schon Pferde vor der Apotheke kotzen sehen!

Ich wolte keine sarkastischen Betrachtungen über allgemeine Mißstände am Rande des Themas initiieren sondern einen technisch plausiblen **möglichen** Tathergang für einen konkreten Fall rekonstruieren unter der verschärften Annahme zugunsten des Users daß dessen Rechner (und dessen Mail-Passwort) eben **nicht** kompromittiert sind. Können unter dieser verschärften Annahme die beobachteten Symptome immer noch irgendwie erklärt werden?

Also ich tippe einfach mal auf die DB von MT.Gox. Das wäre auch der "bequemste" Weg für den Angreifer.

phantastisch: Wenn du wirklich einen Topf willst schick mir deine Adress  :o Bedenke dass von dem Inhalt des Topfes keine Rede war ;)

Alle anderen bekommen keinen Blumentopf mehr. Nicht dass hier noch jemand den Rechtsweg einschlagen will.

Digger, echt?!?

Hut ab!

Das Thema interessiert mich... dürfte ich fragen wieviele 20-30-buchstabige passwörter hast du in deinem Hirn gespeichert hast?

Habe den heutigen Tag im Freien genießen können, nach dieser Erlösung heute früh, war nach dem trüben Wetter, die letzten Tage, mal eine Abwechslung.

Zu deiner Frage, also so schwer zu merken, sind solche Passwörter auch nicht.
Dürften derzeit so an die 10-12 Passwörter sein, wobei ich mir von den 5 neuen Passwörtern seit gestern, erst 3 gemerkt habe.
Wenn die Post it am Bildschirm hängen, merkt man sie sich im Unterbewusstsein, da sie im Blickfeld sind und wenn es nur eines ist, geht es wirklich ziemlich schnell.
Danach verbindet man im Kopf, automatisch, die Zeichen mit irgendetwas(Wörter,Erlebnisse,Gegenstände,etc), das für einen dann einen Sinn ergibt.
Hab das als Jugendlicher in irgendeiner Doku (ging da um Gedächtnismeisterschaften) mal gesehen, es einfach mal ausprobiert und es geht so leicht und mit der Zeit wird es immer leichter.
Und ich verwende sie nur bei sensiblen Sachen, wie dem Gox Acc, oder von anderen Exchanges, bzw E-mailkonten, oder so was.
Ist mir aber schon ein paar Mal passiert, dass mir ein Zeichen entfallen ist, wenn ich es mehrere Monate nicht benutzt habe, also ewig hält es sich bei mir auch nicht.

Zu den anderen Posts, ich glaube, dass evtl Android eine große Lücke sein könnte, oder Gox, oder ...

Leider habe ich zuwenig Ahnung von IT, um da irgendetwas eruieren zu können und da MS am WE schläft, bzw deren Support, weiß ich noch nicht, ob jemand in meinem E-mailacc war.
Sobald ich von MS was weiß, gebe ich Bescheid.

was soll passieren wenn man auf dem mtgox account (schlauerweise) keine coins hat....oder hattest du coins drauf -.- ? shame on you  :P

Ich trade ja, mit dem was ich auf Gox habe, mittlerweile fast täglich.
Bin dort seit Fr. bei 101.5$ zu knapp 90% in FIAT und das bekommt man dort nicht so schnell raus.
Und in den Acc haben sie sich nicht einloggen können, durch die 2FA, ist eh alles gut gegangen.

okay, mit fiat ist nat schwieriger.

Zephir fühlt sich durch meinen obigen Kommentar leider persönlich verletzt.
Dafür möchte ich mich in aller Form entschuldigen.
Es war nie meine Absicht Zephir zu beleidigen oder zu verletzen.