Bitcoin Forum
November 10, 2024, 05:23:35 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: [2011] MtGox.com ha sido comprometido - Mira si tienes una cuenta con ellos  (Read 9987 times)
jaime (OP)
Sr. Member
****
Offline Offline

Activity: 337
Merit: 250


División de Poderes s.XXI es Descentralización


View Profile WWW
June 19, 2011, 10:38:43 PM
Last edit: August 21, 2012, 01:35:55 PM by majamalu
 #1

Al parecer alguien ha logrado sacar de la base de datos de mtgox.com una lista con unos 60.000 nombres de usuario, sus EMAILS y el hash de su password.

Eso quiere decir que:

1) si usabas el password de mtgox.com en otros sitios, debes cambiarlos cuanto antes (ya están intentando entrar en ctas de gmail)

2) si tu password tenía menos de 8 caracteres, da por hecho que ya lo conocen.


MtGox además reconoce que:

1) una dirección con gran cantidad de BTC se puso a la venta  de golpe, tirando los precios al suelo.
2) que esa venta fue parte del proceso del atacante para robarse el dinero
3) que gracias al límite de transferencias de 1000 USD/día el hacker no ha podido lograr más que 1000 USD
4) que MtGox. reestablecerá las cuentas de sus usuarios al momento justo antes de esa gran venta.


Nunca es tarde ni repetitivo recordar que estamos en una fase beta. Estas cosas pueden pasar y se recomienda conocer bien el terreno que se pisa y tomar todas las precauciones de seguridad posibles.

Desgraciadamente parece que estas cosas son necesarias para que un sistema vaya mejorando y madurando. Sólo hay que tener cuidado y saber lo que se hace. Estoy convencido que a partir de hoy los mercados como mtgox, tradehill, etc. serán más seguros y profesionales.

EDIT: Unos cambios pequeños y sticky. ~fabianhjr

electrotime
Newbie
*
Offline Offline

Activity: 20
Merit: 0


View Profile
June 19, 2011, 10:57:56 PM
 #2

La base de datos se ha filtrado:

http://t.co/RYlObuM

Podéis buscar vuestro usuario y comprobar si el correo sigue siendo el mismo, o si ya os lo habían cambiado por otro y por tanto tenéis la cuenta más que hackeada. Las contraseñas están bajo md5 con hash, así que si eran muy largas y seguras, puede que te hayas librado. Si tenías contraseñas malas de 12 para abajo... miedito.

De todas formas hay gente con contraseñas de 20 caracteres aleatorios que también ha caído, así que es probable que el ataque se haya lanzado de diferentes formas y puede haber afectado a diferentes vulnerabilidades de algunos navegadores web. Por ejemplo, pinchando en algún enlace que haya robado tu sesión abierta en Mt.Gox y haya hecho transferencias automáticas...
electrotime
Newbie
*
Offline Offline

Activity: 20
Merit: 0


View Profile
June 19, 2011, 11:18:57 PM
 #3

¡ATENCIÓN!

Si tu correo electrónico aparece en esa lista, cambia inmediatamente la contraseña. Los atacantes ya han lanzado programas a la búsqueda de cuentas de gmail con la misma contraseña que en Mt. Gox.

Desde GMail me han redirigido automáticamente avisando que se había detectado actividad sospechosa en mi cuenta y me han obligado a cambiar la contraseña. He tenido que cambiar la contraseña, aunque en mi caso es obvio que no habían podido entrar. Estoy seguro que mi cuenta de Mt. Gox no ha sido afectada...
dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
June 19, 2011, 11:44:16 PM
 #4

3) que gracias al límite de transferencias de 1000usd/día el hacker no ha podido lograr más que 1000 usd

Esos 1000 dólares, si los sacas como BTC cuando el precio está a 0.01, se traducen en 100.000 BTC.
conbitcoin.com
Newbie
*
Offline Offline

Activity: 22
Merit: 0


View Profile
June 20, 2011, 02:24:04 AM
 #5

vamos a ver que pasa ahora que se cayo mtgox ... un golpe no grato para la comunidad.
bitcoincomes
Newbie
*
Offline Offline

Activity: 15
Merit: 0



View Profile WWW
June 20, 2011, 09:23:56 AM
 #6

Un par de datos más que han ido saliendo (https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback):

- aparentemente la brecha de seguridad no ha sido en el site mtgox.com ni es un ataque de SQL Injection o CSRF, sino que proviene de un ordenador personal de un auditor financiero con el que estaba trabajando MtGox y que tenía acceso a la base de datos.
- se pospone la reapertura al martes 21 de Junio de 2011, 02:00 GMT.

Mike Hearn, trabajador de Google en temas relacionados con la seguridad y miembro de la comunidad, ha indicado en este hilo (http://forum.bitcoin.org/index.php?topic=19641.msg245983#msg245983) que por precaución han obligado a restablecer las contraseñas de todas las cuentas de la BD de MtGox que utilizaban Gmail, lo cual no significa que hayan entrado en la cuenta o que la password de MtGox haya sido descubierta o crackeada.

electrotime
Newbie
*
Offline Offline

Activity: 20
Merit: 0


View Profile
June 20, 2011, 09:45:02 AM
 #7

La reacción de Google ha sido ejemplar para evitar que la filtración afecte a ninguno de sus usuarios, y aun así hay tontos que se han quejado y además de malas formas, de la medida tomada por Google. Deberían marcar sus cuentas y desactivar todas las medidas de seguridad de GMail para ellos... como son taaaaaaaaan profesionales y susceptibles, que se gestionen todo sus señorías... ¬¬'

sergio
Sr. Member
****
Offline Offline

Activity: 313
Merit: 258


View Profile WWW
June 20, 2011, 10:57:46 PM
 #8

Lo que no se sabe aun son las perdidas totales que pudieran haver.
Ya que es possible que en dolares los crackers solo pudieran robar la cantidad de $1000, es posible que en bitcoins la cifra sea muy superior, ya que segun tengo entendido no hay limites en las retiradas de los bitcoins.

Una  buena idea que escuche que van a implementar es la de otra contrasen~a para retir dinero de mtgox.

La gente tiene falsas idea de seguridad por ejemplo limitar los intentos de logeo es bueno, pero poner un numero de intentos de 1 o 2 logeos es mala idea, ya que es bueno motivar el uso de claves largas, por otro lado si no hay control de intentos de el logeo en un par de segundos se podran hacer miles de intentos de logeo y eso es malo.

Unos 5 intentos de logeo, con un tiempo de demora de unos minutos en caso de falla de clave seria buena idea, despues de todo ningun cracker va a esperar 10 minutos por ejemplo para hacer solo 5 intentos, eso seria un intento por cada 2 minutos, en cambio sin medidas de seguridad se pueden hacer miles de intentos por segundo lo cual es malo.

si la cantidad de intentos se limita a un intento esto es malo, ya que habra una tendendia a usar claves simples que son faciles de craquear a fuerza bruta.

electrotime
Newbie
*
Offline Offline

Activity: 20
Merit: 0


View Profile
June 20, 2011, 11:57:54 PM
 #9

http://forum.bitcoin.org/index.php?topic=20207.0

Esto empieza a apestar de verdad. Todo apunta a que la cuenta bitcoin de la que se ha sacado todo es, precisamente, la de MT Gox, y que por eso ha salido tan rápido a decir que se van a revertir todas las operaciones. Los argumentos son de peso como mínimo.

Credibilidad de la gente de MtGox --;
shackra
Full Member
***
Offline Offline

Activity: 237
Merit: 102


1 Pedro 3:15-16 (DHH)


View Profile WWW
June 21, 2011, 04:31:42 AM
 #10

mi contraseña tenia el siguiente esquema:

##a#a#aa##***##

los # significa numero, las a significa que va una letra y los * significa que va un simbolo.
creen que sea lo suficientemente buena para aguantar un ataque por diccionario?

Bitcoin-OTC | GPG: 43C5AF3C1C559BA2 | Telegram: https://t.me/jorge_personal
dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
June 21, 2011, 05:42:43 AM
 #11

http://forum.bitcoin.org/index.php?topic=20207.0

Esto empieza a apestar de verdad. Todo apunta a que la cuenta bitcoin de la que se ha sacado todo es, precisamente, la de MT Gox, y que por eso ha salido tan rápido a decir que se van a revertir todas las operaciones. Los argumentos son de peso como mínimo.

Credibilidad de la gente de MtGox --;

Sólo he leído el primer mensaje, y bastante por encima. Me parece que un tipo que ha sacado una pasta tan fácilmente, no se toma las molestias en preparar un mensaje tan largo, dirigido únicamente a quemar al mercado donde ha conseguido esa pasta.

Ese es un troll, o es de la competencia.
jaime (OP)
Sr. Member
****
Offline Offline

Activity: 337
Merit: 250


División de Poderes s.XXI es Descentralización


View Profile WWW
June 21, 2011, 05:55:02 AM
 #12

http://forum.bitcoin.org/index.php?topic=20207.0

Esto empieza a apestar de verdad. Todo apunta a que la cuenta bitcoin de la que se ha sacado todo es, precisamente, la de MT Gox, y que por eso ha salido tan rápido a decir que se van a revertir todas las operaciones. Los argumentos son de peso como mínimo.

Credibilidad de la gente de MtGox --;



MtGox ha funcionado así siempre. Todas las operaciones internas se hacen fuera del sistema Bitcoin y llevan una contabilidad para conocer el saldo de cada cliente, como cualquier banco. Eso no es ningún problema, es la única forma de hacerlo.

Todo esto es una prueba por la que había que pasar y a mí no me preocupa (salvo por lo que algún periodista ignorante pueda llegar a contar) ya que no afecta la más mínimo a la seguridad de la arquitectura Bitcoin.

Bitcoin es infinítamente más seguro que cualquier otra moneda o commodity, no se puede falsificar, pero sí que se puede robar. Bitcoin es anónimo y en ese sentido funciona como el CASH. Cuando dejamos que un servicio online como MtGox guarde nuestros bitcoins es como si los pusiéramos en una caja de seguridad en un banco. Si los roban de ahí, los has perdido. Así que antes de elegir una caja de seguridad fuera de tu casa debes estar muy seguro de que no va a poder ser reventada. Cuando he comprado bitcoins en MtGox los he sacado de ahí rápidamente y tampoco he dejado saldo en dólares. No me puedo fiar más que lo justo de un servicio que no sabes quién lo gestiona ni cómo lo hace. La falta de transparencia no es buena si quieres tener la confianza de los usuarios. Todo este asunto del anonimato extremo no es bueno, pero deriva del mundo criptográfico en el que surge Bitcoin.

Si Tradehill quiere romper barreras, debe salir del anonimato y del misterio, coger el toro por los cuernos y operar con transparencia dentro de un marco legal. Bitcoin es dificil de clasificar dentro de una figura legal ya existente, pero ante la falta de una figura espefífica, debería acogerse a la de otras commodities como el oro o la plata.

Son pasos que hay que ir dando.






dnlosx
Newbie
*
Offline Offline

Activity: 2
Merit: 0


View Profile
June 21, 2011, 06:15:14 AM
 #13

mi contraseña tenia el siguiente esquema:

##a#a#aa##***##

los # significa numero, las a significa que va una letra y los * significa que va un simbolo.
creen que sea lo suficientemente buena para aguantar un ataque por diccionario?

Lo primero que te recomiendo es no andar publicando es esquema de tu contraseña por que así sería mucho más fácil descifrarla con fuerza bruta.

Lo segundo es buena, siempre y cuando que no sea algo común, o por decirlo así, algo que otra persona también pudiera haber usado como contraseña, ya que muchos diccionarios se hacen a partir del robo de contraseñas no cifradas.

A mi me preocupa bastante la lista de cuentas publicadas, he mirando los MD5 se nota que hay usuarios que siguen usando cosas como abc123 o qwerty como contraseña, estamos hablado de dinero....
jaime (OP)
Sr. Member
****
Offline Offline

Activity: 337
Merit: 250


División de Poderes s.XXI es Descentralización


View Profile WWW
June 21, 2011, 06:44:31 AM
 #14

A mi me preocupa bastante la lista de cuentas publicadas, he mirando los MD5 se nota que hay usuarios que siguen usando cosas como abc123 o qwerty como contraseña, estamos hablado de dinero....


En la lista ví que había muchas cuentas de prueba o falsas, yo mismo también cree una para testar. En ese tipo de cuentas puedes usar ese tipo de passwords, sino no es así no tiene perdón. En MtGox usé una contraseña especialmente complicada,  y de 15 caracteres, algo que no suelo hacer con frecuencia.


Una buena idea es usar algo así para gestionar tus passwords:    http://passwordmaker.org/passwordmaker.html
con este sistema no se "guardan" tus password en ningún sitio.

sergio
Sr. Member
****
Offline Offline

Activity: 313
Merit: 258


View Profile WWW
June 21, 2011, 11:04:56 PM
 #15

Alguien tiene noticia, de cuanto demora el proceso de verificacion de mtgox?

yo ya inicie el proceso de verificacion, pero falta la parte final en donde finalmente te puedes logear a tu cuenta.

Si alguien sabe algo por favor informar aqui.
shackra
Full Member
***
Offline Offline

Activity: 237
Merit: 102


1 Pedro 3:15-16 (DHH)


View Profile WWW
June 23, 2011, 12:47:28 AM
 #16

mi contraseña tenia el siguiente esquema:

##a#a#aa##***##

los # significa numero, las a significa que va una letra y los * significa que va un simbolo.
creen que sea lo suficientemente buena para aguantar un ataque por diccionario?

Lo primero que te recomiendo es no andar publicando es esquema de tu contraseña por que así sería mucho más fácil descifrarla con fuerza bruta.

Lo segundo es buena, siempre y cuando que no sea algo común, o por decirlo así, algo que otra persona también pudiera haber usado como contraseña, ya que muchos diccionarios se hacen a partir del robo de contraseñas no cifradas.

A mi me preocupa bastante la lista de cuentas publicadas, he mirando los MD5 se nota que hay usuarios que siguen usando cosas como abc123 o qwerty como contraseña, estamos hablado de dinero....

pues, buena suerte al listillo que intenté asociar ese esquema a uno de los tantos correos electrónicos dumpeados de mtgox :-P

Bitcoin-OTC | GPG: 43C5AF3C1C559BA2 | Telegram: https://t.me/jorge_personal
dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
June 23, 2011, 02:35:48 AM
 #17

pues, buena suerte al listillo que intenté asociar ese esquema a uno de los tantos correos electrónicos dumpeados de mtgox :-P

LOL. No iba a decir nada, pero si insistes...

Tu esquema ##a#a#aa##***## es equivalente a ########aaaa***. 10 dígitos, 4 letras y 3 especiales hacen:

10^8 * 52^4 * 31^3 = 21782035225600000000 ≈ 2.1782e+19.

(He cogido 31 especiales, que son los caracteres entre 32 y 127 que no son letras ni números).

Todo el espacio posible es:

(10+52+31)^(8+4+3) = 336700862051614156853075413557 ≈ 3.367e+29.

Por tanto, con el simple hecho de haber publicado eso, has hecho tu clave 10 órdenes de magnitud más fácil de romper.

Eso unido a que "shackra" aparece en el CSV...
shackra
Full Member
***
Offline Offline

Activity: 237
Merit: 102


1 Pedro 3:15-16 (DHH)


View Profile WWW
June 24, 2011, 05:38:10 AM
 #18

Pero mi cuenta de mybitcoin no tiene el mismo user. Además, en mtgox no tenía nada porque me lleve la sorpresa de que mi única manera de comprar bitcoins sería usando un servicio que no estaba disponible para mi país :-/.

La única manera que me roben algo (0.11 btc) es entrando a mi cuenta mybitcoin, cosa que dudo que logren a menos que crackeen el sitio :-|.

Bitcoin-OTC | GPG: 43C5AF3C1C559BA2 | Telegram: https://t.me/jorge_personal
jtimon
Legendary
*
Offline Offline

Activity: 1372
Merit: 1002


View Profile WWW
November 26, 2011, 10:08:49 AM
 #19

Debería este hilo seguir estando fijo?

2 different forms of free-money: Freicoin (free of basic interest because it's perishable), Mutual credit (no interest because it's abundant)
fitosoft29
Newbie
*
Offline Offline

Activity: 40
Merit: 0


View Profile
February 13, 2012, 04:09:00 AM
 #20

A mi ya me robaron, mi error fue tener la misma contraseña en casi todos los sitios, me robaron de mtgox, me robaron de vircurex, ¿que puedo hacer? tenia como 14 bitcoins que me costaron muchisimo tiempo obtener, y ahora ya no puedo entrar a mi cuenta en mtgox, he intetado re obtener mi password pero el hacker supongo cambio mis datos y aunque solicito mi contraseña siemplemente no me llega. Esto paso apenas el fin de semana pasado, tal vez el sabado 11 de febrero de 2012. Estoy realmente triste, ¿que mas pudiera hacer?
Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!