Mt.Gox: Nutzerdaten gestohlen
Der Handelsplatz Mt.Gox wurde kurzzeitig geschlossen nachdem dort Nutzerdaten aus der Datenbank kopiert und im Internet verbreitet worden waren. Ein Angreifer konnte die Daten nutzen, um in ein Konto mit vielen Bitcoins einzubrechen. Er verkaufte zuerst die Bitcoins, was den Kurs auf der Handelsplattform schnell stark absenkte. Daraufhin versuchte er, zum niedrigeren Kurs viele Bitcoins zu kaufen. Wegen einer Sicherheitseinstellung konnte er jedoch anschließend nur Bitcoins im Wert von 1000 US-Dollar stehlen, ehe die Machenschaften bemerkt wurden.
Die von Mt.Gox gestohlenen und verbreiteten Daten waren Nutzername, Email-Adresse und das verschlüsselte Passwort (dessen Hashwert). Das stellt ein Problem dar bei einfachen Passwörtern, die erraten, bzw. anhand eines Wörterbuchs automatisch durchprobiert werden können. Außerdem erhalten die verbreiteten Email-Adressen mittlerweile Spam.
Nach Informationen auf MtGox.com entstand die Sicherheitslücke durch den Rechner eines externen Prüfers, der Lesezugriff auf die Datenbank hatte und dessen Rechner in irgendeiner Form manipuliert war.
Gefährlich für MtGox-Nutzer ist insbesondere immer noch, falls sie die gleiche Kombination aus Benutzername oder Email-Adresse und Passwort auch bei anderen Online-Diensten verwendet haben. Diese sollten schnellstmöglich geändert werden!
Eine sehr wichtige Sicherheitsempfehlung im Internet gilt diesmal umso mehr:
- Stets ein eigenes Paßwort für jeden Online-Dienst!
- Sichere Passwörter verwenden: Kombinationen aus Buchstaben, Zahlen und Sonderzeichen, keine Namen oder Worte, die sich in einem Wörterbuch finden. (→ Passwort-Generator)
Andere Dienste haben bereits selbst reagiert und ihre Zugangsdaten gesperrt, bzw. Passwörter neu erstellt. Z.B. sendete MyBitcoin.com vorsorglich neue Passwörter an seine Nutzer, für den Fall, daß diese die gleiche Kombination aus Benutzer/Passwort wie auf MtGox.com verwendet hätten.
Weitere Sicherheitslücken vorbeugen
In verschiedenen Veröffentlichungen wurde zuletzt von Sicherheitsproblemen im Zusammenhang mit Bitcoin berichtet.
Insbesondere ein einfacher Trojaner wurde von Symantec veröffentlicht:
Infostealer.Coinbit
Der Schadcode sendet die Datei wallet.dat von Windows-Rechnern aus über einen polnischen Mail-Server an den Angreifer.
Obwohl es keine Sicherheitslücke des Bitcoin-Systems direkt ist, betrifft es jeden Bitcoin-Nutzer mit Windows-Rechner. Da die Bitcoin-Software die Datei wallet.dat auf dem eigenen Rechner anlegt und dort die privaten Schlüssel gespeichert werden, mit denen die eigenen Bitcoins erst erreichbar sind, wird es zunehmend wichtiger, den eigenen Rechner zu schützen und das Gefahrenpotenzial zu kennen.
Das ist nicht schwer, wenn einige Sicherheitsmaßnahmen und Verhaltensregeln berücksichtigt werden.
Die größte Sicherheitslücke sind Programme, die aus dem Internet heruntergeladen und auf dem eigenen Rechner gestartet werden. Das kann auch getarnt geschehen, z.B. als Spiel, Witzprogramm oder Werbung. Meistens verbreiten sich derartige Schadprogramme über Emails. Deswegen Emails von unbekannten Absendern löschen und keinesfalls deren Anhänge öffnen oder auf Links klicken.
Links
- Informationsseite auf Mt.Gox
- Interview mit Adam Barr von Mt. Gox auf OnlyOneTV.com [youtube]
Kommentare
Keinen Passwort-Generator benutzen!
Ein Online-Password Generator ist eine sehr schlechte Idee, da das erzeugte Passwort in einem Wörterbuch landen könnte.
Relativ sicher ist es, lange Passphrasen aus nicht zusammenhängenden Wörtern zu machen, Beispiel: "Sieben Delphine kreischen über die Allüren der beleidigten Zitronen".
Mehr dazu:
http://www.gnupp.de/verschluesselung/mantra.html
Und noch was: Wenn man E-Mail zum Zurücksetzen von Passwörten benutzt, ist die Sicherheit des Gesamtkunstwerks nicht sicherer als die Sicherheit des Mailszugangs. Und wenn man seine Mail in einem offenen WLAN ohne SSL liest oder Mail-Passwörter der Bequemlichkeit halber in den Einstellungen speichert, ist die ziemlich grottig.
den letzten satz hast aber
den letzten satz hast aber schön geklaut, hans.