Jemand hat versucht in meinen Mt.Gox Account einzudringen.

[Zephir]

Auf reddit finden sich auch noch ein paar Leute, denen es so ergangen ist.

http://www.reddit.com/r/Bitcoin/comments/1i7ydk/psa_reminder_do_not_store_anything_of_value_at_a/

[OhShei8e]

Wie ich schon geschrieben hab, ist es ein Netbook mit keiner anderen Software außer Kaspersky und win7 als Betriebssystem.
Die 2FA hat ja bei Gox standgehalten, soll heißen, der Angreifer hat, laut support, mehrmals versucht ein 2FA Passwort einzugeben, ist aber daran gescheitert.
Habe von Microsoft eine Liste aller IPs, die sich in meinen emailacc. eingeloggt haben, angefordert, aber derzeit noch keine Rückmeldung erhalten.
Ich vermute eher, dass die Email von Gox abgefangen werden konnte, da sie die recover passwort mails clear versenden, kann aber auch anders gewesen sein.

So einfach ist das nicht, wenn Du nicht gerade für die NSA arbeitest. Du musst ja erstmal dazwischen kommen. Bei unseren heutigen geswitchten Netzwerken ist das nicht so trivial. Und gezielt Datenpakete abfangen kann ein Normalsterblicher sowieso nicht. Das ist wirkliche eine Ebene, auf der nur die Geheimdienste arbeiten. Ist schon sehr merkwürdig. Am ehesten könnte ich mir noch vorstellen, dass ein Techniker der für Gox das Netzwerk oder die Server betreibt so etwas macht. Für den wäre es leicht.

Andererseits, wieso soll es bei der NSA nicht Kriminelle geben, die gezielt nach solchen Mails suchen. Soviel verdienen Leute wie Snowden nun auch wieder nicht und manche Menschen sind schlicht habgierig oder haben Schulden.

Ich hoffe Du bekommst von Microsoft die Liste. Gib uns dann bitte mal Bescheid.

Zum surfen oder arbeiten habe ich andere Laptops oder Computer, dieses Netbook ist nur zum traden.

Das ist IMHO schon mal mehr als 90% der Leute machen und eigentlich bist Du damit auf der sicheren Seite. Eigentlich.

Ebenfalls habe ich heute die Kontoverknüpfung zur Smartphone outlook app aufgelöst, falls da was gewesen sei.

Das wäre so die Idee, dass der Angreifer da angesetzt hat. Er muss irgendwo irgendwie ja an die Mail gekommen sein. Sonst hätte die Passwortrücksetzung ja keinen Sinn gehabt.

Die Passwortrücksetzung bei Gox sollte so geändert werden, dass zuerst eine Mail kommt, dass eine Passwortrücksetzung angefordert wurde. Die Mail mit dem Link sollte dann erst 24h nach der Info-Mail verschickt werden. Man sollte den Passwortrücksetzungsprozess in der Zwischenzeit abbrechen können. Und man sollte die Passwortrücksetzung für den eigenen Account im Security Center auch ganz ausschalten können. Ich persönlich brauche sowas nicht und Du mit Deinem Gedächtnis ja erst Recht nicht.

[OhShei8e]

Auf reddit finden sich auch noch ein paar Leute, denen es so ergangen ist.

http://www.reddit.com/r/Bitcoin/comments/1i7ydk/psa_reminder_do_not_store_anything_of_value_at_a/

Also bis jetzt ist das Wahrscheinlichste, dass das E-Mail-Passwort kompromittiert wurde. Das erklärt auch, warum bei allen eine Passwortrücksetzung initiiert wurde. Ist aber schon merkwürdig woher die Kriminellen wissen wer ein Gox Kunde ist.  

Ich habe mir bisher eingehende Mails auf mein Smartphone weitergeleitet. Natürlich auf einen separaten Mailaccount. Hab das jetzt abgeschaltete und werde in Zukunft nur noch eine Mail an mein Smartphone senden, dass eine neue Mail eingegangen ist. So hat ein Angreifer zumindest an dieser Stelle keine Chance. Die Smartphones sind halt so sicher, dass man einfach nur das kalte Grausen kriegt.  

Im Grunde ein bodenloser Leichtsinn damit sensible E-Mails zu verarbeiten. Habe ich aber bisher auch getan.  

[Zephir]

Die Passwortrücksetzung bei Gox sollte so geändert werden, dass zuerst eine Mail kommt, dass eine Passwortrücksetzung angefordert wurde. Die Mail mit dem Link sollte dann erst 24h nach der Info-Mail verschickt werden. Man sollte den Passwortrücksetzungsprozess in der Zwischenzeit abbrechen können. Und man sollte die Passwortrücksetzung für den eigenen Account im Security Center auch ganz ausschalten können.

Das wäre eine richtig gute Lösung gegen solche Probleme.

Und wegen den Smartphones, man muss sich nur die ganzen Berechtigungen ansehen, die beinahe jede App schon fordert, da wird man ja irre, wenn man an alle Eventualitäten denkt.
Hab im Ganzen nur an die 15 Apps am smartphone, ohne die das Telefon umsonst wäre und selbst bei denen, bin ich, nach heute, wieder skeptischer.

[prof7bit]

Bin um 10:15 aufgewacht und habe am Telefon eine E-Mail gesehen und geöffnet und da sie von Mt.Gox kam und etwas von "recover password" stand.
Habe sofort versucht am Netbook meinen Mt.Gox Account zu öffnen, ging nicht, da falsches Passwort.

Was ich nicht verstehe: Die normale Reaktion wäre doch gewesen sofort auf den Passwort-Reset Link in der Mail zu klicken um den halbfertigen Resetvorgang *selbst* zuende zu führen und damit die Kontrolle wieder an sich zu reißen. Hast Du das nicht als erstes versucht?

[Zephir]

Bin um 10:15 aufgewacht und habe am Telefon eine E-Mail gesehen und geöffnet und da sie von Mt.Gox kam und etwas von "recover password" stand.
Habe sofort versucht am Netbook meinen Mt.Gox Account zu öffnen, ging nicht, da falsches Passwort.

Was ich nicht verstehe: Die normale Reaktion wäre doch gewesen sofort auf den Passwort-Reset Link in der Mail zu klicken um den halbfertigen Resetvorgang *selbst* zuende zu führen und damit die Kontrolle wieder an sich zu reißen. Hast Du das nicht als erstes versucht?

Ich habe die Mail am Handy gelesen, ca. 10 Sekunden nachdem ich aufgewacht bin, da mein Mädel mich angerufen hat und ich nicht schnell genug zum Tel kam.
Würde mich nie mit dem Smartphone auf Gox oder bstamp,etc einloggen.
Habe dann mein Netbook eingeschaltet und mich versucht einzuloggen, was nicht ging.
Dann Email am Netbook geöffnet und selbstverständlich zuerst selbst versucht, über den Link, in meinen Account zu gelangen, was mir verwehrt wurde.
Bis dahin war ich erst 3 Minuten wach.
Dann Support gemailt, und der Rest steht am Anfang des Threads.

Habe mir den englischen Thread durchgelesen, der mMn etwas zu übertrieben geschrieben ist, da der Support sich bei mir sofort gemeldet hatte und ich dann ca 30 min mit Linda vom Supp gechattet habe.

Arg finde ich, dass über den User ivanc in dem Thread so hergezogen wurde und ihm fast keiner glaubt.
Würde in so einem Fall einem Mod Screenshots des chats bzw. der Mails senden.

Edit: Die mail war zu dem Zeitpunkt als ich aufwachte ca.35 Minuten alt.

[candoo]

Wie kann man denn im Support Chat chatten ohne eingeloggt zu sein?

[OhShei8e]

Und wegen den Smartphones, man muss sich nur die ganzen Berechtigungen ansehen, die beinahe jede App schon fordert, da wird man ja irre, wenn man an alle Eventualitäten denkt.
Hab im Ganzen nur an die 15 Apps am smartphone, ohne die das Telefon umsonst wäre und selbst bei denen, bin ich, nach heute, wieder skeptischer.

Ja das ist die Hölle, aber leider sind die Dinger ultra-praktisch.

Eine Frage: Steht im Betreff der Passwortrücksetzungsmail der Rücksetzungscode?

Hintergrund meiner Frage: Ich leite Mails zu meinem Smartphone jetzt nur noch mit Betreff aber ohne den Inhalt weiter. Wäre natürlich sinnlos, wenn der Rücksetzungscode bereits im Betreff stünde.

[OhShei8e]

Wie kann man denn im Support Chat chatten ohne eingeloggt zu sein?

Der Support-Login ist komplett getrennt vom übrigen Account. Macht irgendwie Sinn oder? 

[Zephir]

Wie kann man denn im Support Chat chatten ohne eingeloggt zu sein?

Indem du Ihnen deinen Accnamen und die Emailadresse sagst.
Geh auf Mt.Gox.com und klick auf die Sprechblase ohne dich einzuloggen.
Das aufheben der Sperren, oder das erhöhen der Limits geht evtl nur eingeloggt.

[Zephir]

Ja das ist die Hölle, aber leider sind die Dinger ultra-praktisch.

Eine Frage: Steht im Betreff der Passwortrücksetzungsmail irgendein Code?

Hintergrund meiner Frage: Ich leite Mails zu meinem Smartphone jetzt nur noch mit Betreff aber ohne den Inhalt weiter. Wäre natürlich sinnlos, wenn der Rücksetzungscode bereits im Betreff stünde.

Im Betreff der mail, steht nur: [Mt.Gox] Recover Password
Der Reset key steht erst in der Mail, oder du klickst auf den Link, dann ist der key schon auf der Seite von Gox, die sich öffnet, eingegeben.

[candoo]

Mt.Gox sollte mal einführen, dass man eine fixe BTC Adresse zum auszahlen eingeben kann. Die wird dann "locked" und ein Dieb kann die BTC dann nicht auszahlen, bzw nur auf eine feste Adresse.

Änderungen müssten dann  7 Tage verzögert werden mit warnung per email oder so. Privatekey verlieren= 7 tage warten:P

[OhShei8e]

Mt.Gox sollte mal einführen, dass man eine fixe BTC Adresse zum auszahlen eingeben kann. Die wird dann "locked" und ein Dieb kann die BTC dann nicht auszahlen, bzw nur auf eine feste Adresse.

Änderungen müssten dann  7 Tage verzögert werden mit warnung per email oder so. Privatekey verlieren= 7 tage warten:P

Gute Idee. Ja, da könnte man einiges tun.

[Zephir]

Hab mein Passwort, gerade eben, zurücksetzen können.
Wie mir der Support, gestern schon, versichert hatte, konnte der Angreifer nicht auf meinen Acc zugreifen.
Die 2FA hat also wirklich standgehalten, bezüglich des E-mail accs, weiß ich noch nichts, da MS anscheinend am Wochenende keine Supportanfragen beantwortet, bzw. hab ich von denen noch nichts gehört.

Alles war unverändert, nichts wurde behoben, keine Coins und auch kein Geld, Wochenende gerettet.
Bin wirklich froh, dass diese Sache, so ausgegangen ist, man rechnet in so einem Fall, ja doch irgendwie mit dem Schlimmsten, auch wenn einem versichert wird das Alles safe ist, solange man es selbst nicht überprüft hat...

Kann auch dem Mt.Gox Support, nur mein Lob aussprechen, dass sie sich so schnell, um mein Anliegen bemüht haben und sofort Alles gesperrt haben.

Muss aber auch sagen, dass, wie einige hier schon erwähnt haben, Mt.Gox die Sicherheit erhöhen muss.
Passwort Resets clear in einer E-mail zu versenden, geht bei so etwas eig gar nicht.
Ebenfalls sollten sie nach einem Reset, automatisch, die Auszahlungen für einen gewissen Zeitraum sperren(24h oder sogar 7d).
Ideen wären ja einige vorhanden um die Sicherheit zu erhöhen, evtl hilft es ja, Magical Tux, hier im Forum mal darauf anzusprechen.
Ich werde in nächster Zeit sogar die withdrawal limits auf 0 belassen, bis ich mir relativ sicher bin, was da genau abging, bzw. wie ich so etwas, falls es mein Verschulden war, in Zukunft verhindern kann.

Möchte mich nochmals für die Anregungen bedanken, da man ja nie auslernt und für die Zukunft hoffen, dass sich so etwas vermeiden lässt.

Schönen Sonntag euch Allen.

[Zephir]

Mann das ging ja schnell.
Hab in den Account settings gerade gesehen, dass sich bei Mt.Gox bezüglich der Sicherheit schon was getan hat.
Wenn man jetzt ein neues Passwort anfordert, werden withdrawals automatisch für 24h gesperrt.
Sie bemühen sich ja.

[prof7bit]

Schickt MtGox vielleicht die E-Mails per SMTP ohne SSL raus und ein gelangweilter Techniker bei deren ISP hat mal eben seinen Laptop an der richtigen Stelle angestöpselt um alle ausgehenden MtGox E-Mails abzufangen noch bevor sie überhaupt bei irgendeinem SMTP eingeliefert werden? Wie sonst könnte ein Angreifer massenhaft Kenntnis vom Inhalt aller MtGox Passwortrücksetzungs Mails erhalten ohne jeden User-PC oder jeden Mailaccount einzeln zu knacken?

[hasherl]

Schickt MtGox vielleicht die E-Mails per SMTP ohne SSL raus und ein gelangweilter Techniker bei deren ISP hat mal eben seinen Laptop an der richtigen Stelle angestöpselt um alle ausgehenden MtGox E-Mails abzufangen noch bevor sie überhaupt bei irgendeinem SMTP eingeliefert werden? Wie sonst könnte ein Angreifer massenhaft Kenntnis vom Inhalt aller MtGox Passwortrücksetzungs Mails erhalten ohne jeden User-PC oder jeden Mailaccount einzeln zu knacken?

Das Problem liegt natütlich am Benutzer.

Es läuft doch immer nach dem gleichen Schema ab:
1. Windows ist Schuld, der zeitlose Klassiker schlechthin. Kann ja der hacken!
2. Der Emailanbieter ist scheiße. Auch für jeden easy hackbar.
3. Das Passwort ist unsicher. Immerhin sind Passwörter a la E@*fH9_xBKhgY@jf5.5Ah/JA5gV*,C[Ce?JNKJ?@\]]JW*Qs%m nicht sicher, weiß man doch 
4. Die Regierung ist schuld.

Wer Sarkasmus entdeckt gewinnt einen Blumentopf.

[phantastisch]

Schickt MtGox vielleicht die E-Mails per SMTP ohne SSL raus und ein gelangweilter Techniker bei deren ISP hat mal eben seinen Laptop an der richtigen Stelle angestöpselt um alle ausgehenden MtGox E-Mails abzufangen noch bevor sie überhaupt bei irgendeinem SMTP eingeliefert werden? Wie sonst könnte ein Angreifer massenhaft Kenntnis vom Inhalt aller MtGox Passwortrücksetzungs Mails erhalten ohne jeden User-PC oder jeden Mailaccount einzeln zu knacken?

Das Problem liegt natütlich am Benutzer.

Es läuft doch immer nach dem gleichen Schema ab:
1. Windows ist Schuld, der zeitlose Klassiker schlechthin. Kann ja der hacken!
2. Der Emailanbieter ist scheiße. Auch für jeden easy hackbar.
3. Das Passwort ist unsicher. Immerhin sind Passwörter a la E@*fH9_xBKhgY@jf5.5Ah/JA5gV*,C[Ce?JNKJ?@\]]JW*Qs%m nicht sicher, weiß man doch 
4. Die Regierung ist schuld.

Wer Sarkasmus entdeckt gewinnt einen Blumentopf.

Naja, das schwächste Glied in der Kette ist natürlich der Benutzer. Und ich vermute dass Android hier der gemeinsame Nenner sein könnte. ;-)

Sarkasmus entdeckt !

Darf ich dir jetzt ein schlechtes Trustrating geben wenn du mir jetzt keinen Blumentopf schickst ?

[prof7bit]

Schickt MtGox vielleicht die E-Mails per SMTP ohne SSL raus und ein gelangweilter Techniker bei deren ISP hat mal eben seinen Laptop an der richtigen Stelle angestöpselt um alle ausgehenden MtGox E-Mails abzufangen noch bevor sie überhaupt bei irgendeinem SMTP eingeliefert werden? Wie sonst könnte ein Angreifer massenhaft Kenntnis vom Inhalt aller MtGox Passwortrücksetzungs Mails erhalten ohne jeden User-PC oder jeden Mailaccount einzeln zu knacken?

Das Problem liegt natütlich am Benutzer.

Nein, ich wollte eher folgende Frage in den Raum werfen:
Wenn ein Angreifer plötzlich auf die Idee kommt **massenhaft** Passwortrücksetzuns-Mails zu initiieren dann muss er doch einen Grund haben das zu tun, er muss dann doch einen Weg gefunden haben die Mails auch massenhaft zu lesen **ohne** noch umständlich jeden Mailaccount einzeln aufmachen zu müsen.

Wenn ich jetzt dem User einfach mal für ne Sekunde lang glaube daß tatsächlich niemand außer ihm selbst die Mail auf **normalem** Wege gelesen hat (normal = von irgendwoher ins gmail eingeloggt mit funktionierendem oder gestohlenem oder geratenem passwort) und dass sein Windows tatsächlich **nicht** trojanisiert ist dann stellt sich doch sofort die Frage: Wie ist der Angreifer dann an den Passwortrücksetzungscode gelangt?

Oder geht es vielleicht auch **ohne** den code, gibts hier vielleicht eine Lücke im Rücksetzungsvorgang so daß man die Mails gar nicht braucht, vielleicht leakt der code an anderer Stelle? Ich hab ja schon Pferde vor der Apotheke kotzen sehen!

Ich wolte keine sarkastischen Betrachtungen über allgemeine Mißstände am Rande des Themas initiieren sondern einen technisch plausiblen **möglichen** Tathergang für einen konkreten Fall rekonstruieren unter der verschärften Annahme zugunsten des Users daß dessen Rechner (und dessen Mail-Passwort) eben **nicht** kompromittiert sind. Können unter dieser verschärften Annahme die beobachteten Symptome immer noch irgendwie erklärt werden?

[hasherl]

Also ich tippe einfach mal auf die DB von MT.Gox. Das wäre auch der "bequemste" Weg für den Angreifer.

phantastisch: Wenn du wirklich einen Topf willst schick mir deine Adress  Bedenke dass von dem Inhalt des Topfes keine Rede war

Alle anderen bekommen keinen Blumentopf mehr. Nicht dass hier noch jemand den Rechtsweg einschlagen will.