cex.io Account wurde gehackt

[Siggi84]

Hallo Community,

heute Nacht wurde meine cex.io Account geknackt, wie das passieren konnte, weiß ich nicht, aber darauf gehe ich gleich nochmal ein.

Gegen 23 Uhr letzte Nacht muss sich jemand Zugang zu meinen cex.io Account gemacht haben.

Hier wurden alle mein gh/s verkauft und logischer weiß dann auch ausgezahlt sowie auch die DVC & IXC

Für die Schnüffler unter euch, hätte ich mal folgende Transaktion:
https://blockchain.info/tx/9c304d341cb33b7f57feeddf7fda330ab81a9307f4bd672710761c6d3f986465

Der Schaden beläuft sich auf ~ 7 BTC, für den einen vielleicht wenig, für mich eine richtige Menge...

Für mich stellt sich jetzt nur die Frage, wie kann das passieren?

Mein Passwort bei cex.io besteht aus 30 Zeichen, mit groß/klein Buchstaben, Zahlen, Sonderzeichen (125Bit). Mein eMail Passwort ist sogar noch Stärker (170Bit).

Keines der Passwörter steht irgendwo, außer in KeePass und ich verwende egal für was, immer ein eigenes Passwort.

Auf dem PC läuft auch immer Kaspersky in der neusten Version und natürlich Up2Date. Habe heute Nacht noch einen komplett Scan gemacht, nichts gefunden.

Hat von euch vielleicht jemand eine Antwort darauf, da ich momentan so ziemlich Ratlos bin 

Danke im Voraus für eure Antworten!!!

[3ds]

7 BTC wenig???

Du hattest wohl keine 2-Faktor-Authentifizierung an, oder?

Wäre natürlich auch denkbar, das cex.io ein grundsätzliches Sicherheitsproblem hat. Wäre ja nicht die erste Seite die gehackt wurde...
Oder es ist schlicht ein "Buchungsfehler" ?

btw. macht cex.io überhaupt Sinn? Ich meine der GH/BTC Preis ist doch eigentlich viel zu hoch. ROI geht damit doch garnicht.
Traden ist doch IMHO auch schwierig, weil der Kurs doch tendenziell immer fallen wird...

[Ricke]

Schau mal in deiner Browser-Historie: ist es möglich, das du auf eine Phishing-Seite reingefallen bist?

[Siggi84]

Da muss ich zu meiner Schande gestehen, die 2-Faktor-Authentifizierung hatte ich gar nicht wahr genommen  

Ob das ganze Sinn macht sei dahin gestellt, da ich schon allein nur durch den Kauf/Verkauf immer etwas im Plus war und dann halt noch das mining dazu.

Der ROI nur durch das Mining rein zu holen, gebe ich dir recht, das ist quatsch, aber du musst ja den VK wieder mit dazu rechnen.

Ich persönlich fande es nicht schlecht...

@Ricke

Bin da eigentlich auch ziemlich vorsichtig, was das betrifft, auch in emails & co, konnte zumindest nichts verdächtiges finden

[christinson]

Da muss ich zu meiner Schande gestehen, die hatte ich gar nicht wahr genommen  

ganz ehrlich..... sowas ist einfach dumm! Sorry!

Wie oft ich hier lese das Leuten BTC gezockt werden weil andere Zugriff auf das Konto hatten. Wozu gibt es den diese  2-Faktor-Authentifizierung? Das ist wohl der sicherste Weg um so was vorzubeugen! Und bei 7 BTC würde ich doch alles nutzen was geht!

Deine BTC sind dann wohl weg!

[Siggi84]

Ja habe ich auch gesagt, war meine Dummheit, besser gesagt, ich habe das gar nicht wahrgenommen.

Mach das ganze erst 2-3 Wochen...

Das die Weg sind, ist mir auch fast klar. Für mich stellt sich halt nur die Frage, wie konnte das passieren?

2-Faktor-Authentifizierung hin oder her, dennoch hat man je ein Passwort, was ich auch nicht gerade als unsicher bezeichnen würde.

Die ganzen anderen Faktoren, habe ich ja bereits im Eingangspost beschrieben.

Das Wort unmöglich sollte man ja nicht benutzen, weil nichts unmöglich ist, aber das ist für mich schon sehr seltsam.

Mir geht es momentan nur darum, wie das passieren konnte!?

[LiteCoinGuy]

in zukunft solltest du deine coins generell nicht online speichern (sowie alle anderen tipps beherzigen)


viel glück

[3ds]

in zukunft solltest du deine coins generell nicht online speichern (sowie alle anderen tipps beherzigen)

Das ist ja ein super Tipp... Vielleicht kann man bei cex.io ja mit virtuellen Coins handeln 


@Siggi84: Was du nun machen solltes: 2-Faktor-Auth einschalten, über all da wo es auch angeboten wird. Dabei allerdings auch auf ein Backup achten...

EMail-Konten-Passwörter ändern und KeePass Master passwort sicherheitshalber mal ändern.

Offline Scan deines Rechners. z.B. mit live CD...

[LOBSTER]

Irgendwelche Pseudo-Geniale Programme runtergeladen in letzter Zeit? Eventuell Raubkopien? (leider gerne infiziert...)

[3ds]

Ach, evtl. "öffentliches" oder fremdes WLAN genutzt? Mit Laptop oder Handy?

[Siggi84]

Das ist ja ein super Tipp... Vielleicht kann man bei cex.io ja mit virtuellen Coins handeln 

@Siggi84: Was du nun machen solltes: 2-Faktor-Auth einschalten, über all da wo es auch angeboten wird. Dabei allerdings auch auf ein Backup achten...

EMail-Konten-Passwörter ändern und KeePass Master passwort sicherheitshalber mal ändern.

Offline Scan deines Rechners. z.B. mit live CD...

Mit dem einschalten der 2-Faktor-Authentifizierung kann ich jetzt wieder eine ganze weile warten, hatte mein gesamtes erspartes da rein gesteckt, so schnell wird so eine Summe nicht wieder "vorrätig" sein  

Aber wenn ich nochmal zu zug kommen sollte, dann zu 100%. Den Rest habe ich bereits alles gemacht. Da es zu dem hack auch noch eine schlaflose Nacht gratis dazu gab.

Irgendwelche Pseudo-Geniale Programme runtergeladen in letzter Zeit? Eventuell Raubkopien? (leider gerne infiziert...)

Hier sage ich mal fast nix, aber erst recht keine Raubkopien. Das einzigste was seit 2-3 Tagen neu ist, ist das NXT Wallet

Sonst bin ich da recht genügsam, was Programme betrifft  

Ach, evtl. "öffentliches" oder fremdes WLAN genutzt? Mit Laptop oder Handy?

Nein auch nicht, nur zuhause, aber das ist auch alles Verschlüsselt. Wie schon gesagt, bei der Sicherheit, lasse ich in der Regel nichts ran.

Ich würde es verstehen wenn ich überall ein PW nutze oder ein 0815 PW, aber da bin ich aus meiner Sicht, recht vorbildlich unterwegs.

Deswegen macht mich das ganze ja so wirre im Kopf 

[realcoin]

...
 Für mich stellt sich halt nur die Frage, wie konnte das passieren?
...
2-Faktor-Authentifizierung hin oder her, dennoch hat man je ein Passwort, was ich auch nicht gerade als unsicher bezeichnen würde.
...
Mir geht es momentan nur darum, wie das passieren konnte!?

Würde mich auch interessieren.
Jetzt im Nachhinein zu schimpfen und 2factor etc empfehlen, ist glaube ich nicht mehr nötig.
1. weil es zu spät ist
2. weil er es jetzt weiß, (hinterher ist man "immer" schlauer)

Aber was ist genau passiert, die Ursache?

[Siggi84]

Würde mich auch interessieren.
Jetzt im Nachhinein zu schimpfen und 2factor etc empfehlen, ist glaube ich nicht mehr nötig.
1. weil es zu spät ist
2. weil er es jetzt weiß, (hinterher ist man "immer" schlauer)

Aber was ist genau passiert, die Ursache?

Besser hätte ich es nicht in Worte fassen können

[3ds]

neu ist, ist das NXT Wallet

Hm!

Gab es dazu Checksum, die du verglichen hast?

Ich frage ja immer danach, aber viele Entwickler ignorieren das einfach. Siehe:
https://bitcointalk.org/index.php?topic=362497.msg4054389#msg4054389
https://bitcointalk.org/index.php?topic=347391

[mezzomix]

Würde mich auch interessieren.
Jetzt im Nachhinein zu schimpfen und 2factor etc empfehlen, ist glaube ich nicht mehr nötig.
1. weil es zu spät ist
2. weil er es jetzt weiß, (hinterher ist man "immer" schlauer)

Aber was ist genau passiert, die Ursache?

Besser hätte ich es nicht in Worte fassen können

Ausserdem: Solange der Angriffsvektor nicht bekannt ist, bietet auch 2FA nicht unbedingt Sicherheit, wenn das Problem z.B. auf Deiner Seite liegt. Sollte das Problem beim Anbieter liegen hast Du genauso verloren.

Den Dienstleister sehe ich als das grösste Risiko an, da selbst bei meinem absolut schlecht konfigurierten Rechner die Hotwallet mit ein paar BTC drauf noch nicht geplündert wurde, während man hier doch einige Beiträge von Leuten findet, deren Geld geklaut wurde.

[Siggi84]

Hm!

Gab es dazu Checksum, die du verglichen hast?

Ich frage ja immer danach, aber viele Entwickler ignorieren das einfach. Siehe:
https://bitcointalk.org/index.php?topic=362497.msg4054389#msg4054389
https://bitcointalk.org/index.php?topic=347391

Ja gab es und hatte ich auch verglichen, siehe da...
https://bitcointalk.org/index.php?topic=345619.0

Ausserdem: Solange der Angriffsvektor nicht bekannt ist, bietet auch 2FA nicht unbedingt Sicherheit, wenn das Problem z.B. auf Deiner Seite liegt. Sollte das Problem beim Anbieter liegen hast Du genauso verloren.

Den Dienstleister sehe ich als das grösste Risiko an, da selbst bei meinem absolut schlecht konfigurierten Rechner die Hotwallet mit ein paar BTC drauf noch nicht geplündert wurde, während man hier doch einige Beiträge von Leuten findet, deren Geld geklaut wurde.

Nur das raus zu bekommen, sehe ich als eher schwierig, wobei mich das halt brennend interessiert. Schon allein deswegen, das es beim nächsten mal nicht passiert.

Zu meiner Seite habe ich ja schon fast alles gesagt: Bei mir ist alles Up2Date, Passwörter sind aus meiner Sicht alle Sicher, bzw. sicherlich sicherer als bei vielen anderen Und anzeichen auf Trojaner etc. hab ich keine gefunden.

Mir fällt auch gerade noch etwas ein.

Ich habe bei cex.io bisher nur einmal ausgezahlt, habe sonst immer alles in mehr Speed investiert.
Bei der AZ wurde mir per Mail ein bestätigungs-Link per Mail verschickt, vorher wurde die AZ gar nicht gemacht.

Das scheint gestern aber nicht der Fall gewesen zu sein, zumindest habe ich keinen bekommen und auch keine im Spam oder Papierkorb.
Das wäre nur erklärbar, wenn jemand Zugang zum eMail Account gehabt hätte.

Wie schon gesagt ein 170Bit PW, was niemanden außer KeePass bekannt ist, selbst ich kenne es nicht

[3ds]

Ich habe bei cex.io bisher nur einmal ausgezahlt, habe sonst immer alles in mehr Speed investiert.
Bei der AZ wurde mir per Mail ein bestätigungs-Link per Mail verschickt, vorher wurde die AZ gar nicht gemacht.

Das scheint gestern aber nicht der Fall gewesen zu sein, zumindest habe ich keinen bekommen und auch keine im Spam oder Papierkorb.
Das wäre nur erklärbar, wenn jemand Zugang zum eMail Account gehabt hätte.

Das wäre ja ein Anzeichen dafür, das auf seiten von cex.io was nicht stimmt. Schreib doch mal cex.io an, das eine nicht von dir Bestätigte Transaktion ausgeführt wurde und das sie diese gefälligst wieder rückgängig machen sollen. (Was natürlich nicht wirklich geht, aber 7BTC zahlen die aus der Kaffee-Kasse, vermute ich)

[Siggi84]

Habe ich auch gestern Abend direkt danach gemacht, was man sagen muss, der Support war sehr schnell, innerhalb von 3 min hatte ich die erste Antwort.

Momentan ist es an den "zuständigen Mitarbeiter" weitergeleitet worden, bisher ohne Antwort, mal sehen was die meinen...

[Siggi84]

Ich schon wieder 

Habe gerade 2 interessante Beiträge gefunden, sind auch noch nicht mal 2 Wochen alt.

Jedoch ist mein Englisch nicht gerade das beste, vielleicht kann mal einer von euch zwischen den Zeilen lesen 

http://mentaso.com/bitcoin-news/cex-io-hacked-user-loses-7-btc.html

http://mentaso.com/bitcoin-news/cex-part-2-the-hacked-account-and-children-playing-grownups.html

[mezzomix]

Hört sich nicht so an, als wäre es eine gute Idee, cex.io sein Geld anzuvertrauen. Damit wären wir wieder mal beim alten Thema, dass die BTC (Keys) immer noch am besten in der eigenen Wallet aufbewahrt werden.