so because all the hashed passwords and emails were leaked. mtgox is going to authenticate accounts through emails...by entering the old password. and a new password...
soooo fucking stupid. you realized that this was only step one, did you? There is a second step where you have to provide further prove that you are the legit owner of the account you claim. even lulzier is bitcoin is a community of people who mine by decoding hashes. nobody is decoding hashes. someone with a killer mining set up could rainbow table the shit out of any encryption. md5 encryptions can be easily cracked by morons via sites like md5decrypter.co.uk and the freebsdmd5 hashes by process's like this http://hansatan.com/?d=jtrguidegood luck. the unsalted simple md5() from the leaked list are dead accounts, where nobody logged in for months. also good luck for trying to crack the ~60000 unix_md5() hashes, with ~60000 different salts. that requires you to generate 60000 different rainbowtables...very effective, lol. |
|
|
|
- als erstes gibts heute Nacht (Japan Zeit) eine Account recovery page
Alles auf unbestimmte Zeit verschoben  We are still working to get the claim site up. People are probably getting tired of us pushing the time so we're just going to say it should be very soon. We'll update as soon as it's up. |
|
|
|
It means you cannot receive incoming connections. If he couldn't receive incoming connections, how come his client shows 8 connections? N4rk0: There is nothing wrong with your client. 8 Connections is perfectly right, that's exactly the number of connections the client tries to create. You don't need more than that. |
|
|
|
|
@toasty:
So, you are Kevin, the guy who bought 259684 of stolen BTC for under $3000. And with your essay you are here to complain that MtGox says you can't keep the stolen value but will get your money back? Tell that face to face to person who got robbed.
And btw, how do we know you are not related to the hacker? Maybe you just wanted to launder the stolen BTC that he(or yourself) sold on MtGox.
|
|
|
|
@El-Presidente : Jein. Jeder der einen Account ohne Email Adresse registriert hat, soll sich wenn MtGox wieder online ist an den support wenden. Das ist alles an genaueren Informationen bisher. Ich hab hier mal an oberster MtGox Stelle nachgefragt. Das wird dann wohl einzeln abgearbeitet... ich vermute mal man wird nach dem alten Passwort, Kontostand, letzte Transaktion o.ä. gefragt um zu beweisen das einem der Account gehört. |
|
|
|
@jed / MagicalTux could you please give an official statement on how you will deal with accounts that do not have an email address? your support site says: When Mt.Gox comes back online, we will be putting all users through a new security measure to authenticate the users. This will be a mix of matching the last IP address that accessed the account, verifying their email address, account name and old password. Users will then be prompted to enter in a new strong password. i didn't sign up with an email address, will my coins be forever alone in your wallet? :-/ |
|
|
|
|
do you have a link or some more details on the extracted coins thing? i lost track over all the mtgox threads -__-
i only read that someone tried to sell 500k BTC for 0.01USD and due to this the market collapsed. this can and will be rolled back. damage ~0. and the leaked db of course. but i didn't see anything about 250 actual extracted btc
|
|
|
|
|
the snippet you cracked there is from the view simple md5() hashes in the leaked list only. you can't bruteforce a list of +59000 unix_md5() hashes with +59000 different salts within 2s.
also, the accounts for the hashes you cracked can be considered as dead. MtGox switched from simple md5() to unix md5() months ago. the simple md5() hashes are from accounts where no one logged in for months
|
|
|
|
This is a bit off-topic but since there are currently a thousand mtgox threads, i'll just ask here instead of opening another thread... Does anyone happen to know how MtGox will deal with accounts that do not have an email address associated with? on support.mtgox.com they say: When Mt.Gox comes back online, we will be putting all users through a new security measure to authenticate the users. This will be a mix of matching the last IP address that accessed the account, verifying their email address, account name and old password. Users will then be prompted to enter in a new strong password. i didn't sign up with an email address, will my coins on my mtgox account be forever alone? :-/ |
|
|
|
|
Ich bin zwar weeeeit davon entfernt, aber mal angenommen man hat ein regelrechtes Vermögen an Bitcoins aufgebaut und tauscht diese nach und nach in "harte Währung" um. In Deutschland liegt der Steuerfreibetrag derzeit bei ca. 8000€. Was wenn man mehr umtauschen möchte und will das alles legal und von oberster Stelle abgesegnet abläuft?
Wird das dann als "Einkommen" gezählt? Muss man das überhaupt beim Finanzamt melden? Bitcoins sind ja keine anerkannte Währung, wenn es anerkannt wäre würde man ja quasi nur sein eigenes Geld umtauschen ...aber so? Meiner Meinung nach wäre es Einkommen und damit ab einem gewissen Betrag steuerpflichtig. Aber wissen tu ich es nicht. Kennt sich einer damit aus?
Bitte nur ernst gemeinte Antworten und keine sinnfreien Beiträge gegen das Steuersystem,Unrechtsstaat bla bla bla, danke.
|
|
|
|
Auf der Support Seite von MtGox wird auch davor gewarnt! Also Finger weg! If you receive ANY email which seems coming from Mt.Gox asking you to download something (certificate, generating program, etc), DO NOT DOWNLOAD. Do not either input your password on any site which is not MTGOX.COM. |
|
|
|
einer der security-muftis von google, mike hearns oder so, ist doch auch hier im forum, und hat die sperrung angeleiert.
Dann hätte er mein gmail PW auch geändert  Im offiziellem MtGox Blog heißt es dazu: "We have been working with Google to ensure any gmail accounts associated with Mt.Gox user accounts have been locked and need to be reverified. " Vielleicht hat man nur die gesperrt bei denen man weiß, dass das Passwort auf beiden Seiten verwendet wurde bzw. ein so simples Passwort bentutzt wurde das es schon auf den diversen veröffentlichten Listen zu finden ist. Ich denke einfach der Asiate der MtGox gehackt hat Es war ein Asiate der den Hack durchgezogen hat? Ich hab die letzten Stunden geschlafen, was hab ich noch verpasst?*g @leFBI
[...]
Hast mal versucht per GPU und ner Rainbow-Table die unix(md5) hashes zu "untersuchen"?
Das geht nicht...bzw gehen tut das schon ist aber ineffektiv. Jeder der hashes ist mit einem anderen salt versehen, also bräuchte man in dem Fall ~60000 verschiedene Rainbowtables. Die müsste man im voraus erstmal generieren...lohnt sich nicht, wenn man für jeden Hash erst eine eigene Rainbowtable erzeugen muss kann man auch gleich die bruteforce methode benutzen. Bruteforce ist bei unix md5 ineffektiv, also bleibt nur Wörterbuchattacke. Im Blog steht noch das jeder gezwungen werden wird ein neues, sicheres, Passwort zu setzen. Der Hashalgorithmus wird auch nochmal geändert, dann wird's noch schwerer. "Entwarnung" gibt es für die Accounts bei denen die Passwörter nur per simplen md5 gespeichert wurden. Die Accounts sind quasi tot. Vor ein paar Monaten hat MtGox den Hashalgorithmus von md5() auf unix_md5() umgestellt, bei jedem der sich eingeloggt hat wurde der Hash automatisch umgestellt. Die veröffentlichten Accounts mit normalem md5() sind also Accounts bei denen sich seit Monaten keiner eingeloggt hat. Quelle: https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback |
|
|
|
Except that an account with 500k and other accounts were hacked and it's true. So you're opinion that it's all ok is bs.
that's because he most likely used a very weak password and not because of md5(unix). it has barely to do with the algorithm, more with too lazy people. these are just....weak passes: lazy people, even when it comes to protect an account that holds real money. |
|
|
|
Also wenn ich mir das ansehe und schnell mal überprüfe ist das Passwort doch mit dem billigen Crypt_MD5 Allgo gehasht. Der 8Stellige Salt liegt plain im Hash vor. md5(unix) ist nicht billig und das salt für jedes einzelne Passwort >muss< im Klartext vorliegen. Wenn es das nicht tun würde, müsste der Server jedesmal wenn du dich einloggst erst dein Passwort per bruteforce knacken um es überprüfen zu können... Zum Vergleich: Ich hab hier weiter oben das eine normale md5 Passwort geknackt, das lief mit ~980Mhash/s Wenn ich mit der selben Grafikkarte eine Wörterbuchattacke (und nur die ist bei md5(unix) sinnvoll) auf die hashes starte liegt die Hashrate bei ~640.0k/s Das ist alles andere als schnell oder billig... Hoffentlich schicken die bei den Leuten mit Email eine Bestätigung zum PW ändern, nicht einfach alle freischalten. :/ Ich hoffe genau auf das Gegenteil*g ich hab keine Emailadresse bei der Registrierung angegeben.... |
|
|
|
Ok.
5bed6438bf8114083e513f5660443ba0
Nur soviel sei gesagt, es ist 7-stellig und entspricht deinen Kriterien. 5bed6438bf8114083e513f5660443ba0 ==> n9Wbnw3 Das war jetzt nicht >so< schwer Gedauert hat es 1 Minute, 50 Sekunden per stupidem bruteforce(ohne Wörterbuch) auf einer HD4870...die nun auch schon etwas betagt für diese Zwecke ist. Ich hab bei der Gelegenheit die 1700 normalen MD5 durch ein kleines 3,6GB Wörterbuch gejagt...459 sofort geknackt. Also mit den Passwörtern nehmen es die Leute wie immer nicht so genau. Nichtmal wenn's um Geld geht 1. Greift am 16. oder 17.06. die Seite an Dem würd ich so zustimmen, der veröffentliche Teil der DB ist entweder nicht vollständig oder der eigentliche Angriff fand schon vor ein paar Tagen statt, denn in der veröffentlichten Liste fehlen die ca. 500 letzten Accounts. Die höchste ID in der Datei ist ~61000, heut morgen war man bei mtgox aber schon bei ~ 61500. Der Rest ist aber alles reine Spekulation, das weiß nur der Hacker selbst bzw MtGox der es eventuell an Hand der Logdaten rekonstruieren kann. |
|
|
|
Nur einige hundert PWs sind als MD5-Hash gespeichert. ~1700 Die PWs im propritären Format nix propritär. md5(unix)In der Datei sind zahlreiche Accounts ohne Email-Adresse. Liegt daran das man während der Registrierung bei mtgox keine Email-Adresse angeben muss... aber kann  Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat. ^^^^^^Genau das! Es dauert eine halbe Ewigkeit die md5(unix) hashes zu knacken, selbst per Wörterbuchattacke. Anders sieht's mit den 1700 normalen md5 hashes aus, da ist es schon kritisch wenn man ein zu kurzes Passwort benutzt hat. Passwort ändern sobald mtgox wieder online ist. |
|
|
|
If the salt hasn't been compromised, then the passwords should be safe, no?
It's not entirely clear if the attacker got access to the Mt.Gox source code, but at the moment it's probably safer to assume the salt was compromised as well.
there is no >the salt< in this case it's 59231 password hashes with 59219 >different< salts. and ~1700 simple md5 hashes. well look at what some of the users have in there rigs and there are programs like Extreme GPU Bruteforcer out there that can do up to 700million passwords a sec on a geforce 250 and with what people here have in there rigs it would not take long at all. we're talking about md5crypt a.k.a MD5(Unix) a.k.a. FreeBSD MD5 ...not simple md5()! with a decent gpu you'll be lucky to get ~1.5Mhash/s per gpu, not 700M. On a single HD4870 i get ~640.0k/s , that's nothing. anything else than a wordlist attack is pretty useless on these hashes. so if you have a at least decent 8char pass, you should be fine. if you're one of the poor guys, who's pass was encrypted with simple md5()...well good luck then. but the rest shouldn't worry too much. however everyone still should change his password when they are back online |
|
|
|
Address 13fEJojp1mkDRpCQ4t2eTXKiRHvMz6hYjQ Short link: http://blockexplorer.com/a/277RyrvAc7 First seen?: Block 131302 (2011-06-16 20:37:02) Received transactions: 6 Received BTC: 371.13000001 Sent transactions: 5 Sent BTC: 5.95000001 365.18 btc .....dude.......ouch! ........WHY??....why did you do that?  you could have tested sending these btc to my address....but noooo.....doh next time, please use 1HfX1okdauFE5GxxtPa3ZMHmzZYNCt6j19 to waste some btc please :-/ 365.18 btc ~ 5660.29USD (1btc = 15.5USD at mtgox) i can feel your pain op |
|
|
|
bloating bitcoin client with all kinds of stuff as poor innocent naive users demand versus doing one thing very well and using other tools that are doing well other things, like securing wallets. do you want it to be simple&secure to get bitcoin as widely accepted&spreaded as possible by the users or do you want bitcoin to be stigmatized as hacker-,nerd- and black market currency forever? you can't expect the simple user to use 3 different tools just to make it secure, no none-geek will do that. a simple "choose wallet&enter password" won't bloat anything at all. the gui still can look like it was made in the 1990's for windows 3.11 ...plain, simple, not overloaded.  |
|
|
|
If your device (computer, mobile phone) is infected and your bitcoin wallet keys are stored on that device (encrypted or not), then the bad guys will get your coins sooner or later.
Sooner if the wallet is not encrypted. Later if it is encrypted.
but not even trying to protect the users doesn't make any better. do you also not update antivirus software, just because there will always be some new trojan version? or do you never update any a linux machine just because hackers will always find new ways to get root access? with not encrypting the wallet.dat you open the doors for much broader range of thieves who don't even need a lot of knowledge about computers,operating systems,exploits etc to rob someone. oh, and targeting the wallet.dat has already been actively used: http://buttcoin.org/bitcoin-verifier-will-verify-the-integrity-of-your-walletscam site was: http://walletinspector.info/it asked the visitor to upload the wallet file, to "verify" it. if the file was encrypted, the site would have needed to ask for the password and Joe-Averge-None-Geek would might have gotten suspicious too. assuming that he was told what the wallet.dat is... |
|
|
|
|
Show Posts
