einer der security-muftis von google, mike hearns oder so, ist doch auch hier im forum, und hat die sperrung angeleiert.
Dann hätte er mein gmail PW auch geändert
Im offiziellem MtGox Blog heißt es dazu:
"We have been working with Google to ensure any gmail accounts associated with Mt.Gox user accounts have been locked and need to be reverified. "
Vielleicht hat man nur die gesperrt bei denen man weiß, dass das Passwort auf beiden Seiten verwendet wurde bzw. ein so simples Passwort bentutzt wurde das es schon auf den diversen veröffentlichten Listen zu finden ist.
Ich denke einfach der Asiate der MtGox gehackt hat
Es war ein Asiate der den Hack durchgezogen hat? Ich hab die letzten Stunden geschlafen, was hab ich noch verpasst?*g
@leFBI
[...]
Hast mal versucht per GPU und ner Rainbow-Table die unix(md5) hashes zu "untersuchen"?
Das geht nicht...bzw gehen tut das schon ist aber ineffektiv. Jeder der hashes ist mit einem anderen salt versehen, also bräuchte man in dem Fall ~60000 verschiedene Rainbowtables. Die müsste man im voraus erstmal generieren...lohnt sich nicht, wenn man für jeden Hash erst eine eigene Rainbowtable erzeugen muss kann man auch gleich die bruteforce methode benutzen. Bruteforce ist bei unix md5 ineffektiv, also bleibt nur Wörterbuchattacke.
Im Blog steht noch das jeder gezwungen werden wird ein neues, sicheres, Passwort zu setzen. Der Hashalgorithmus wird auch nochmal geändert, dann wird's noch schwerer.
"Entwarnung" gibt es für die Accounts bei denen die Passwörter nur per simplen md5 gespeichert wurden. Die Accounts sind quasi tot. Vor ein paar Monaten hat MtGox den Hashalgorithmus von md5() auf unix_md5() umgestellt, bei jedem der sich eingeloggt hat wurde der Hash automatisch umgestellt. Die veröffentlichten Accounts mit normalem md5() sind also Accounts bei denen sich seit Monaten keiner eingeloggt hat.
Quelle:
https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback
