Bitcoin Forum
December 10, 2016, 05:25:31 AM *
News: To be able to use the next phase of the beta forum software, please ensure that your email address is correct/functional.
 
   Home   Help Search Donate Login Register  
Pages: [1] 2 3 »  All
  Print  
Author Topic: User-Datenbank von Mt Gox veröffentlicht, ändert eure Passwörter!  (Read 3723 times)
qwk
Donator
Legendary
*
Offline Offline

Activity: 1316


Bitcoin Foundation Member


View Profile WWW
June 19, 2011, 07:47:49 PM
 #1

Wie im englischsprachigen Forum schon zu lesen war, ist die User-Datenbank von Mt Gox tatsächlich öffentlich zugänglich geworden.

Ich habe die Datei vorliegen, und habe auch meine Account-Daten darin finden können.

Die Passwörter sind verschlüsselt, allerdings können gerade schwache Passwörter eventuell sehr schnell mithilfe dieser Datei herausgefunden werden.

Daher ist jedem dringend zu raten, sein Mt Gox-Passwort so bald wie möglich zu ändern!

Ärgerlich ist außerdem, dass die Email-Adressen aller Nutzer im Klartext in der Datei zu finden sind. Wundert euch also nicht über vermehrtes SPAM-Aufkommen ;-)

Yeah, well... I'm gonna go build my own blockchain, with blackjack and hookers. In fact, forget the blockchain!
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1481347531
Hero Member
*
Offline Offline

Posts: 1481347531

View Profile Personal Message (Offline)

Ignore
1481347531
Reply with quote  #2

1481347531
Report to moderator
1481347531
Hero Member
*
Offline Offline

Posts: 1481347531

View Profile Personal Message (Offline)

Ignore
1481347531
Reply with quote  #2

1481347531
Report to moderator
1481347531
Hero Member
*
Offline Offline

Posts: 1481347531

View Profile Personal Message (Offline)

Ignore
1481347531
Reply with quote  #2

1481347531
Report to moderator
J0k3r
Jr. Member
*
Offline Offline

Activity: 42



View Profile
June 19, 2011, 07:59:30 PM
 #2

Könntest mir vielleicht mal einen Link aus dem Englisch Forum schicken oder per PM Link zur Datei.
Will auch schauen, was von mir und meinen Kollegen drin ist.

So ne Sch. aber auch  Sad
leepfrog
Full Member
***
Offline Offline

Activity: 140

Hopity Hopity Hop


View Profile
June 19, 2011, 08:09:14 PM
 #3

Ich habe die Datei vorliegen, und habe auch meine Account-Daten darin finden können.

+1

Bezüglich der Mail Adressen: Joa die müssen ja auch im Klartext vorliegen Wink

@Joker: Versenden werde ich die Datei nicht, wenn du mir einen Teil des Benutzernamens oder der Mail per PN schickst lasse ich dir die relevanten Einträge (mit gekürztem PW hash) zukommen

-----Crypto--Investor----Family--Guy-----All--Around--Winner----
Search_and_Destroy
Full Member
***
Offline Offline

Activity: 216


View Profile
June 19, 2011, 08:22:23 PM
 #4

Könntest mir vielleicht mal einen Link aus dem Englisch Forum schicken oder per PM Link zur Datei.
Will auch schauen, was von mir und meinen Kollegen drin ist.

So ne Sch. aber auch  Sad

http://forum.bitcoin.org/index.php?topic=19566.0
adaman
Member
**
Offline Offline

Activity: 70


View Profile
June 19, 2011, 08:43:37 PM
 #5

Könntest mir vielleicht mal einen Link aus dem Englisch Forum schicken oder per PM Link zur Datei.
Will auch schauen, was von mir und meinen Kollegen drin ist.

So ne Sch. aber auch  Sad

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat. Genauer errechnet wird es nicht. Per Brute Force kannst du versuchen ein Passwort zu generieren das den selben Hash hat. Das muss dann dein Passwort sein. Wie gesagt, da alle Möglichkeiten durchzuprobieren kann lang dauern, sehr laaaang. Es sollte also hoffentlich genug Zeit bleiben das Passwort zu ändern bevor es ein anderer tut.

Allerdings finde ich es beunruhigend genug das die Datenbank überhaupt entwendet werden konnte.

Mir liegt die Datenbank nicht vor. Sind noch andere Daten über die betroffenen Accounts darin ersichtlich oder ist es "nur" die Passwort-Datenbank?
germanMNY
Jr. Member
*
Offline Offline

Activity: 56


View Profile
June 19, 2011, 08:44:57 PM
 #6

Die Kontostände wurden anscheinend nicht geleaked. Kann das jemand bestätigen?
Search_and_Destroy
Full Member
***
Offline Offline

Activity: 216


View Profile
June 19, 2011, 08:46:30 PM
 #7

Das steht drin:

User ID, Username, Email, Password
3txx
Jr. Member
*
Offline Offline

Activity: 56


View Profile
June 19, 2011, 08:48:01 PM
 #8

Gerade eine Mail bekommen:

Quote
Dear Mt.Gox user,

Our database has been compromised, including your email. We are working on a
quick resolution and to begin with, your password has been disabled as a
security measure (and you will need to reset it to login again on Mt.Gox).

If you were using the same password on Mt.Gox and other places (email, etc),
you should change this password as soon as possible.

For more details, please see this:

https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

The informations there will be updated as our investigation progresses.

Please accept our apologies for the troubles caused, and be certain we will do
everything we can to keep the funds entrusted with us as secure as possible.


The leaked data includes the following:

- Account number
- Account login
- Email address
- Encrypted password

While the password is encrypted, it is possible to bruteforce most passwords
with time, and it is likely bad people are working on this right now.


Any unauthorized access done to any account you own (email, mtgox, etc) should
be reported to the appropriate authorities in your country.


Thanks,
The Mt.Gox team


Nyx
Sr. Member
****
Offline Offline

Activity: 270



View Profile
June 19, 2011, 08:49:25 PM
 #9

ändert auf jeden Fall die Passwörter. Nicht alle Passwörter sind gesalzen!

Einige User haben Passwörter ohne $-Zeichen, sprich ganz normale md5-hash's!

- Einfach sicherer und schneller BTC-Handel über Bitcoin.de
SecOpa
Newbie
*
Offline Offline

Activity: 13


View Profile
June 19, 2011, 08:52:18 PM
 #10

Japs, bestätigt Wink  

Also war das gerede von wegen "Ein Account wurde gehacked" nur ein Teil.

Ich vermute, der Angreifer hatte die Liste schon, knackte die Passwörter und suchte sich den größten Fisch aus.

Oder aber, er hatte Vollzugriff, schnappte sich den größten, versuchte zu überweisen, wurde geblockt.
Dann released er die Accounts (Ja, nur Name, Email, Hashed PW, ID).

Aber, ich denke er hatte nie Zugriff auf den 2. SErver, der die wirklichen Buchungen durchführt, nur Zugriff auf den Loginpart.


Zur Zeit bringt der Zugriff auf die Accounts.csv herzlich wenig. Kein Login möglich, afaik. 
Email adressen können zwar verkauft werden.

Nur wer im Emailfach und in MTGox das gleiche PW hatte, sollte wirklich schnellstens was tun . (Email PW ändern)

Ich schätze und hoffe, MTGox teilt jedem User per Mail ein neues Passwort in 1-2 Tagen zu. 
germanMNY
Jr. Member
*
Offline Offline

Activity: 56


View Profile
June 19, 2011, 08:55:25 PM
 #11

Demnächst werden ein haufen Phishing mails und Trojaner bei den mtgox Benutzern eintreffen.  Angry
qwk
Donator
Legendary
*
Offline Offline

Activity: 1316


Bitcoin Foundation Member


View Profile WWW
June 19, 2011, 08:56:45 PM
 #12

Ich schätze und hoffe, MTGox teilt jedem User per Mail ein neues Passwort in 1-2 Tagen zu. 

In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, eventuell sind das Test-Accounts, dafür sind es aber eigentlich zu viele und zu "ungewöhnliche" Namen.

Sollte es also Accounts ohne Email-Adresse geben, wird das nicht so einfach  Wink

Yeah, well... I'm gonna go build my own blockchain, with blackjack and hookers. In fact, forget the blockchain!
Nyx
Sr. Member
****
Offline Offline

Activity: 270



View Profile
June 19, 2011, 09:00:04 PM
 #13

Ich schätze und hoffe, MTGox teilt jedem User per Mail ein neues Passwort in 1-2 Tagen zu. 

In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, eventuell sind das Test-Accounts, dafür sind es aber eigentlich zu viele und zu "ungewöhnliche" Namen.

Sollte es also Accounts ohne Email-Adresse geben, wird das nicht so einfach  Wink

man musste keine E-Mail Adresse bei mtgox angeben. Sind also ganz normale Accounts.

- Einfach sicherer und schneller BTC-Handel über Bitcoin.de
Dennis1234
Newbie
*
Offline Offline

Activity: 14


View Profile
June 19, 2011, 09:01:09 PM
 #14

Ich habe gerade die Datei von Rapid-Share gezogen, da sind 61.000 Usernamen und Passwörter drinne. Sieht so aus, als hätte jemand vollzugang zum Server gehabt. Eine Zeile: "Username: Root - Passwort-MD5: 21232..." da lache ich nur, wer einen MD5-Hash mit 21232 beginnend in seiner Datenbank hat und dazu den User "root", der hat echt nicht alle Tassen im Schrank. Gut, das kann natürlich auch nur nen Joke sein, das File bei Rapid-Share könnte gefälscht sein, oder sonst was.


Die meisten Passwörter scheinen in einem propritären Forma gespeichert zu sein. Nur einige hundert PWs sind als MD5-Hash gespeichert. MD5-Hashes können bis 8 oder 9 Zeichen Problemlos zurück gerechnet werden. Die PWs im propritären Format sind natürlich nur so sicher wie das Format. Für Salz+SHA256 ist die Zeichenkette jedoch viel zu kurz.

Mein Rat an alle die  dumm (Sorry, aber ist so) genug waren das gleiche Passwort mehrfach zu verwenden: ÄNDERT EUER PASSWORT überall ab. Mindestens 12 Zeichen. 8-Zeichen MD5-Hash können (z.T. mit Glück) problemlos zurück gerechnet werden. Und da man nie weiß wie sicher die PWs gespeichert werden, niemals ein PW doppelt verwenden.

Edit: Bevor einer fragt: Datei  geschreddert, ich brauche sowas nicht.
phantastisch
Moderator
Legendary
*
Offline Offline

Activity: 1596



View Profile
June 19, 2011, 09:05:17 PM
 #15

Hab vor lauter Paranoia sogar meine Win Partition Bitcoinfrei gemacht und überlege ob ich sie ganz platt mach.

Verschiedene Passwörter hab ich überall schon. Wird nen Riesiger Imageschaden für Mt Gox werden bin mal gespannt wie es weitergeht.

GPG : 57C2B3A5
Mimblewimble. Mimblewimble. Mimblewimble.
Dennis1234
Newbie
*
Offline Offline

Activity: 14


View Profile
June 19, 2011, 09:07:18 PM
 #16

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.
Nyx
Sr. Member
****
Offline Offline

Activity: 270



View Profile
June 19, 2011, 09:07:53 PM
 #17

Hab vor lauter Paranoia sogar meine Win Partition Bitcoinfrei gemacht und überlege ob ich sie ganz platt mach.

Verschiedene Passwörter hab ich überall schon. Wird nen Riesiger Imageschaden für Mt Gox werden bin mal gespannt wie es weitergeht.


mtgox ist tot! vergesst es...
Gründe muss ich wohl keine Aufzählen:
- Leak
- Backup der Order
- Backup des Preises
und dass obwohl nicht mehr alle Bitcoins vom Morgen da sind, sondern schon verschoben wurden. Shocked

- Einfach sicherer und schneller BTC-Handel über Bitcoin.de
dev^
Newbie
*
Offline Offline

Activity: 28


View Profile
June 19, 2011, 09:08:29 PM
 #18

In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, (...)

Das Feld war optional - ich bspw. habe es ebenso wenig ausgefüllt.
Was ich mich nun nur frage... wenn wie auf Mt. Gox genannt alle Kennwörter zurückgesetzt werden... wie können sich Benutzer ohne E-Mail-Adresse dann wieder einloggen?  Undecided

Ich habe zwar regelmäßig das Konto dort ausgeglichen, aber über das Wochenende hin liegen doch ein einstelliger BTC- und hoher zweistelliger $-Betrag bei denen...

(Fuck.)

@Dennis1234

Für MD5 gibt es Rainbow-Tables... 2 Sekunden.
SecOpa
Newbie
*
Offline Offline

Activity: 13


View Profile
June 19, 2011, 09:10:48 PM
 #19

Der leak liegt schon 2 Tage zurück, habe manche Passwörter in älteren Listen gefunden...  
Nyx
Sr. Member
****
Offline Offline

Activity: 270



View Profile
June 19, 2011, 09:11:12 PM
 #20

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.

die paar 100 Passwörter von mtgox die nur md5-gehast waren, sind bereits gecrackt: https://uloadr.com/u/CF.txt

- Einfach sicherer und schneller BTC-Handel über Bitcoin.de
Pages: [1] 2 3 »  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!