User-Datenbank von Mt Gox veröffentlicht, ändert eure Passwörter!

[qwk]

Wie im englischsprachigen Forum schon zu lesen war, ist die User-Datenbank von Mt Gox tatsächlich öffentlich zugänglich geworden.

Ich habe die Datei vorliegen, und habe auch meine Account-Daten darin finden können.

Die Passwörter sind verschlüsselt, allerdings können gerade schwache Passwörter eventuell sehr schnell mithilfe dieser Datei herausgefunden werden.

Daher ist jedem dringend zu raten, sein Mt Gox-Passwort so bald wie möglich zu ändern!

Ärgerlich ist außerdem, dass die Email-Adressen aller Nutzer im Klartext in der Datei zu finden sind. Wundert euch also nicht über vermehrtes SPAM-Aufkommen ;-)

[1713245441]

1713245441

[1713245441]

1713245441

[J0k3r]

Könntest mir vielleicht mal einen Link aus dem Englisch Forum schicken oder per PM Link zur Datei.
Will auch schauen, was von mir und meinen Kollegen drin ist.

So ne Sch. aber auch 

[leepfrog]

Ich habe die Datei vorliegen, und habe auch meine Account-Daten darin finden können.

+1

Bezüglich der Mail Adressen: Joa die müssen ja auch im Klartext vorliegen

@Joker: Versenden werde ich die Datei nicht, wenn du mir einen Teil des Benutzernamens oder der Mail per PN schickst lasse ich dir die relevanten Einträge (mit gekürztem PW hash) zukommen

[Search_and_Destroy]

Könntest mir vielleicht mal einen Link aus dem Englisch Forum schicken oder per PM Link zur Datei.
Will auch schauen, was von mir und meinen Kollegen drin ist.

So ne Sch. aber auch 

http://forum.bitcoin.org/index.php?topic=19566.0

[adaman]

Könntest mir vielleicht mal einen Link aus dem Englisch Forum schicken oder per PM Link zur Datei.
Will auch schauen, was von mir und meinen Kollegen drin ist.

So ne Sch. aber auch  

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat. Genauer errechnet wird es nicht. Per Brute Force kannst du versuchen ein Passwort zu generieren das den selben Hash hat. Das muss dann dein Passwort sein. Wie gesagt, da alle Möglichkeiten durchzuprobieren kann lang dauern, sehr laaaang. Es sollte also hoffentlich genug Zeit bleiben das Passwort zu ändern bevor es ein anderer tut.

Allerdings finde ich es beunruhigend genug das die Datenbank überhaupt entwendet werden konnte.

Mir liegt die Datenbank nicht vor. Sind noch andere Daten über die betroffenen Accounts darin ersichtlich oder ist es "nur" die Passwort-Datenbank?

[germanMNY]

Die Kontostände wurden anscheinend nicht geleaked. Kann das jemand bestätigen?

[Search_and_Destroy]

Das steht drin:

User ID, Username, Email, Password

[3txx]

Gerade eine Mail bekommen:

Dear Mt.Gox user,

Our database has been compromised, including your email. We are working on a
quick resolution and to begin with, your password has been disabled as a
security measure (and you will need to reset it to login again on Mt.Gox).

If you were using the same password on Mt.Gox and other places (email, etc),
you should change this password as soon as possible.

For more details, please see this:

https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

The informations there will be updated as our investigation progresses.

Please accept our apologies for the troubles caused, and be certain we will do
everything we can to keep the funds entrusted with us as secure as possible.


The leaked data includes the following:

- Account number
- Account login
- Email address
- Encrypted password

While the password is encrypted, it is possible to bruteforce most passwords
with time, and it is likely bad people are working on this right now.


Any unauthorized access done to any account you own (email, mtgox, etc) should
be reported to the appropriate authorities in your country.


Thanks,
The Mt.Gox team

[Nyx]

ändert auf jeden Fall die Passwörter. Nicht alle Passwörter sind gesalzen!

Einige User haben Passwörter ohne $-Zeichen, sprich ganz normale md5-hash's!

[SecOpa]

Japs, bestätigt  

Also war das gerede von wegen "Ein Account wurde gehacked" nur ein Teil.

Ich vermute, der Angreifer hatte die Liste schon, knackte die Passwörter und suchte sich den größten Fisch aus.

Oder aber, er hatte Vollzugriff, schnappte sich den größten, versuchte zu überweisen, wurde geblockt.
Dann released er die Accounts (Ja, nur Name, Email, Hashed PW, ID).

Aber, ich denke er hatte nie Zugriff auf den 2. SErver, der die wirklichen Buchungen durchführt, nur Zugriff auf den Loginpart.


Zur Zeit bringt der Zugriff auf die Accounts.csv herzlich wenig. Kein Login möglich, afaik. 
Email adressen können zwar verkauft werden.

Nur wer im Emailfach und in MTGox das gleiche PW hatte, sollte wirklich schnellstens was tun . (Email PW ändern)

Ich schätze und hoffe, MTGox teilt jedem User per Mail ein neues Passwort in 1-2 Tagen zu. 

[germanMNY]

Demnächst werden ein haufen Phishing mails und Trojaner bei den mtgox Benutzern eintreffen.  

[qwk]

Ich schätze und hoffe, MTGox teilt jedem User per Mail ein neues Passwort in 1-2 Tagen zu. 

In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, eventuell sind das Test-Accounts, dafür sind es aber eigentlich zu viele und zu "ungewöhnliche" Namen.

Sollte es also Accounts ohne Email-Adresse geben, wird das nicht so einfach  

[Nyx]

Ich schätze und hoffe, MTGox teilt jedem User per Mail ein neues Passwort in 1-2 Tagen zu. 

In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, eventuell sind das Test-Accounts, dafür sind es aber eigentlich zu viele und zu "ungewöhnliche" Namen.

Sollte es also Accounts ohne Email-Adresse geben, wird das nicht so einfach  

man musste keine E-Mail Adresse bei mtgox angeben. Sind also ganz normale Accounts.

[Dennis1234]

Ich habe gerade die Datei von Rapid-Share gezogen, da sind 61.000 Usernamen und Passwörter drinne. Sieht so aus, als hätte jemand vollzugang zum Server gehabt. Eine Zeile: "Username: Root - Passwort-MD5: 21232..." da lache ich nur, wer einen MD5-Hash mit 21232 beginnend in seiner Datenbank hat und dazu den User "root", der hat echt nicht alle Tassen im Schrank. Gut, das kann natürlich auch nur nen Joke sein, das File bei Rapid-Share könnte gefälscht sein, oder sonst was.


Die meisten Passwörter scheinen in einem propritären Forma gespeichert zu sein. Nur einige hundert PWs sind als MD5-Hash gespeichert. MD5-Hashes können bis 8 oder 9 Zeichen Problemlos zurück gerechnet werden. Die PWs im propritären Format sind natürlich nur so sicher wie das Format. Für Salz+SHA256 ist die Zeichenkette jedoch viel zu kurz.

Mein Rat an alle die  dumm (Sorry, aber ist so) genug waren das gleiche Passwort mehrfach zu verwenden: ÄNDERT EUER PASSWORT überall ab. Mindestens 12 Zeichen. 8-Zeichen MD5-Hash können (z.T. mit Glück) problemlos zurück gerechnet werden. Und da man nie weiß wie sicher die PWs gespeichert werden, niemals ein PW doppelt verwenden.

Edit: Bevor einer fragt: Datei  geschreddert, ich brauche sowas nicht.

[phantastisch]

Hab vor lauter Paranoia sogar meine Win Partition Bitcoinfrei gemacht und überlege ob ich sie ganz platt mach.

Verschiedene Passwörter hab ich überall schon. Wird nen Riesiger Imageschaden für Mt Gox werden bin mal gespannt wie es weitergeht.

[Dennis1234]

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.

[Nyx]

Hab vor lauter Paranoia sogar meine Win Partition Bitcoinfrei gemacht und überlege ob ich sie ganz platt mach.

Verschiedene Passwörter hab ich überall schon. Wird nen Riesiger Imageschaden für Mt Gox werden bin mal gespannt wie es weitergeht.

mtgox ist tot! vergesst es...
Gründe muss ich wohl keine Aufzählen:
- Leak
- Backup der Order
- Backup des Preises
und dass obwohl nicht mehr alle Bitcoins vom Morgen da sind, sondern schon verschoben wurden.

[dev^]

In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, (...)

Das Feld war optional - ich bspw. habe es ebenso wenig ausgefüllt.
Was ich mich nun nur frage... wenn wie auf Mt. Gox genannt alle Kennwörter zurückgesetzt werden... wie können sich Benutzer ohne E-Mail-Adresse dann wieder einloggen?  

Ich habe zwar regelmäßig das Konto dort ausgeglichen, aber über das Wochenende hin liegen doch ein einstelliger BTC- und hoher zweistelliger $-Betrag bei denen...

(Fuck.)

@Dennis1234

Für MD5 gibt es Rainbow-Tables... 2 Sekunden.

[SecOpa]

Der leak liegt schon 2 Tage zurück, habe manche Passwörter in älteren Listen gefunden...  

[Nyx]

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.

die paar 100 Passwörter von mtgox die nur md5-gehast waren, sind bereits gecrackt: https://uloadr.com/u/CF.txt