Vorsicht bei mtgox, nutzt 2-Faktor-Authorisierung!

[seran]

Hallo zusammen,

auch wenn vermutlich die meisten Leute das erst lesen werden, nachdem Ihnen dasselbe passiert ist, aber vielleicht hilfts ja trotzdem dem Ein oder anderen.

Mir wurden heute (zum Glück nur) 0,45 BCs aus meinem mtgox Account gestohlen und das obwohl ich ein starkes Passwort habe (Klein-, Großbuchstaben und Zahlen, die kein sinnvolles Wort ergeben), das ich nirgendwo sonst benutze. Trotzdem hat es ein chinesischer Hacker (chinesische IP) geschafft sich Zugang zu meinem Account zu verschaffen.

Was wirklich komisch ist, ich habe den Account vor Monaten angelegt und nie benutzt und 3h nachdem ich das erste Mal BCs dahin geschickt habe, loggt sich wer ein und klaut mir die BCs.

Ich habe Kaspersky auf meinem Rechner laufen und auch mehrere Malware-Tools drüber laufen lassen (u.a. Malwarebytes), keines hat was gefunden. Ich habe auf den Account nur von diesem Rechner aus zugegriffen.

Also richtet auf jeden Fall die 2-Faktor Autorisierung ein, wenn Ihr nicht auch wie ich Lehrgeld bezahlen wollt! Die Standard Sicherheitsvorkehrungen von mtgox scheinen ziemlich schwach zu sein. Es gibt keine Loginhistorie, wie bei bitcoin.de, wo man verdächtige Logins sofort sehen würde. Sie scheinen nicht zu prüfen, wenn sich ausländische IPs in einen Account einloggen, wie es z.B. Paypal tut. Es müssen keine Sicherheitsfragen beantwortet oder TANs in irgendeiner Form angegeben werden, wenn man Geld oder BCs aus dem Account transferieren will, der einzige Schutz ist tatsächlich 2-Faktor Authorisierung!

Gruß
Seran

[hZti]

Funktioniert die 2 Faktor Erkennung auf BTC-E eigentlich immer noch nicht?

Edit: Mittlerweile funktioniert sie 

[LiteCoinGuy]

diese fiesen schlitzaugen  !


 

[Zicore47]

Woher weißt du das es eine Chinesiche IP war, wenn es keine Login Historie gibt?

[Strumi]

Man sollte grundsätzlich nur noch 2-Faktor Authentifizierung benutzen im Zusammenhang mit BTC Wallets, alles andere ist einfach Leichtsinn.

Woher weißt du das es eine Chinesiche IP war, wenn es keine Login Historie gibt?

Man bekommt eine Email bei jeder Abhebung mit der IP des Abhebenden.

@Seran: Guck mal ob bei dir in den Settings der API-Key aktiviert ist. Hab schon von einigen Usern gehört dass sie den irgendwann mal aktiviert hatten und darüber irgendwie ausgenommen wurden.

[LOBSTER]

Wenn Bitcointalk auch bald 2FA hätte, wäre das wirklich sehr toll :-)

[Xer0]

Wenn Bitcointalk auch bald 2FA hätte, wäre das wirklich sehr toll :-)

please not. wie will man sich dann noch vom Handy hier einloggen?
höchstens 30sec zum Login starten, 2FA App öffnen, Code auswendig merken, zurück in Browser

[FrozenCopper]

Warum nicht?
Zudem kann die 2FA ja optional sein

[hZti]

Wenn Bitcointalk auch bald 2FA hätte, wäre das wirklich sehr toll :-)

please not. wie will man sich dann noch vom Handy hier einloggen?
höchstens 30sec zum Login starten, 2FA App öffnen, Code auswendig merken, zurück in Browser

Wenn der BTC weiter steigt sollte ein 2. Handy drin sein 

[LOBSTER]

Wenn Bitcointalk auch bald 2FA hätte, wäre das wirklich sehr toll :-)

please not. wie will man sich dann noch vom Handy hier einloggen?
höchstens 30sec zum Login starten, 2FA App öffnen, Code auswendig merken, zurück in Browser

Meinte das nur als Option, gibt hier ja immer wieder geknackte Hero Member Accounts.

[razerrr]

Wenn Bitcointalk auch bald 2FA hätte, wäre das wirklich sehr toll :-)

please not. wie will man sich dann noch vom Handy hier einloggen?
höchstens 30sec zum Login starten, 2FA App öffnen, Code auswendig merken, zurück in Browser

Wenn ich mich vom Telefon auf btc-e oder bitcoin.de oder wo auch immer einlogge, dann klappt das doch auch, ich glaube das waere das kleinste Problem .

[hZti]

Was macht mann eigentlich wenn das Handy den geist aufgibt? Ist der Acc dann für immer gesperrt, ich habe keine Funktion gefunden das iwie zu sichern.

[LOBSTER]

Was macht mann eigentlich wenn das Handy den geist aufgibt? Ist der Acc dann für immer gesperrt, ich habe keine Funktion gefunden das iwie zu sichern.

Speicher dir die Private Keys UNBEDINGT ab !!! Die werden angezeigt wenn man mit Google Authenticator verbindet...in Mt.Gox...soviel ich weiß wird der Account aber auch wenn du iOS nutzt mit iCloud synchronisiert...bin mir aber nicht ganz sicher.

[Xer0]

Wenn Bitcointalk auch bald 2FA hätte, wäre das wirklich sehr toll :-)

please not. wie will man sich dann noch vom Handy hier einloggen?
höchstens 30sec zum Login starten, 2FA App öffnen, Code auswendig merken, zurück in Browser

Wenn ich mich vom Telefon auf btc-e oder bitcoin.de oder wo auch immer einlogge, dann klappt das doch auch, ich glaube das waere das kleinste Problem .

meins schaffts nicht schnell genug zwischen Authenticator-App und Browser zu wechseln ^^
was in der App auch arg fehlt ist den Code in die Zwischenablage kopieren zu können

[seran]

Also API Key war keiner drin, hab grad nochmal gekuckt. Ich versteh immer noch nicht wie der in den Account gekommen ist.

Der Support hat sich übrigens auch noch nicht gemeldet. Angeblich versuchen die innerhalb von 3h zu antworten, aber ich hab seit einer Woche nichts von Ihnen gehört. Ich hatte bis jetzt eine gute Meinung von mtgox, aber anscheinend haben die doch einige Probleme.

[LOBSTER]

Also API Key war keiner drin, hab grad nochmal gekuckt. Ich versteh immer noch nicht wie der in den Account gekommen ist.

Der Support hat sich übrigens auch noch nicht gemeldet. Angeblich versuchen die innerhalb von 3h zu antworten, aber ich hab seit einer Woche nichts von Ihnen gehört. Ich hatte bis jetzt eine gute Meinung von mtgox, aber anscheinend haben die doch einige Probleme.

Schick mal einen zensierten Screenshot von deinem Mt.Gox Security Center, habe da eine Idee...

[Neupleu]

Wenn Bitcointalk auch bald 2FA hätte, wäre das wirklich sehr toll :-)

please not. wie will man sich dann noch vom Handy hier einloggen?
höchstens 30sec zum Login starten, 2FA App öffnen, Code auswendig merken, zurück in Browser

Wenn ich mich vom Telefon auf btc-e oder bitcoin.de oder wo auch immer einlogge, dann klappt das doch auch, ich glaube das waere das kleinste Problem .

meins schaffts nicht schnell genug zwischen Authenticator-App und Browser zu wechseln ^^
was in der App auch arg fehlt ist den Code in die Zwischenablage kopieren zu können

In welcher App ? Google-Auth kann durch langes drücken den Code kopieren.

[schparc]

Danke dir für den TIPP werde ich später mal einrichten.

[Featureman]

Mein Account wurde auch letzte Woche gehackt und insgesamt mehr als 5 BTCs gestohlen. IP aus England. Hatte leider auch (noch) kein OTP aktiviert.

Aber auch ich wundere mich, wie das so schnell passieren konnte. Withdrawals waren gerade erst möglich geworden, weil die Verifizierung vollzogen wurde.

Wenn ich das bei Dir so lese, erhärtet sich fast mein Verdacht, dass es auch Mitarbeiter von Gox sein könnten, die die Sicherheitslücken von Kontoinhabern systematisch abgreifen. Würde mir den Laden auch am liebsten mal vor Ort ansehen...

Naja... bin gespannt was man in nächster Zeit noch so von denen hört. Ich denke wir werden nicht die letzten sein, die dort Geld verloren haben.

Ich werde meine Coins auf jeden Fall weiter über die Blockchain verfolgen...;-)

[pixmo]

Hier auch noch was interessantes zu diesem Thema:
https://bitcointalk.org/index.php?topic=439674.0