Mt.Gox-Hack: Datenbank kompromittiert, Zugangsdaten gestohlen

20. Juni 2011 | Von | Kategorie: Börsen und Märkte, Sicherheit

Mt.Gox-HackDie Probleme bei Mt.Gox sind größer als befürchtet. Offenbar wurden die Datenbanken kompromittiert und dabei auch Zugangs-/Account-Informationen gestohlen. Zu den Informationen gehören laut Mt.Gox die Account-ID, der Account-Name (Login), die E-Mail-Adresse sowie das Passwort.

Während die ersten drei Daten allenfalls ärgerlich sind, ist das stehlen des Passwortes natürlich das gesamte BTC- und US$-Guthaben des Accounts gefährdet. Allerdings darf man nicht in Panik verfallen.

Encrypted oder hashed?!
In der E-Mail von Mt.Gox wird von „encrypted“, also verschlüsselten Passwörtern gesprochen. Das ist hoffentlich nicht der Fall, denn Passwörter sollten nicht verschlüsselt, sondern gehasht werden. Der Hash eines Passwortes lässt sich im Gegensatz zu einer Verschlüsselung nicht umkehren. Aus einem Passwort kann man einen Hash berechnen, aus deinem Hash aber nicht das ursprüngliche Passwort – daher speichern beispielsweise moderne Betriebssysteme die Nutzer-Passwörter nur als Hashes.
Um einen Hash zu „knacken“ kann man nur einen Brute-Force-Angriff starten. Dabei werden alle möglichen Passwörter generiert und dann deren Hashes gebildet. Stimmt ein Hash mit dem Hash eines Accounts überein, kennt der Angreifer das Passwort. Ein solcher Angriff ist allerdings extrem zeitaufwendig. Versierte Angreifer benutzen daher Rainbow-Tables, also gigantische vorberechnete Tabellen mit Passwort-Hash-Kombinationen. In diesen TByte von Daten muss dann „nur noch“ gesucht werden.

Erste Hilfe!
Was bedeutet das für Mt.Gox-Benutzer? Ein Passwort wie „goxpw“ ist mit Rainbow-Tables in Minuten geknackt, „Mt.Gox45“ dauert vielleicht Stunden, und „MeinGeheimösPW@Mt.Gox3xv2“ ist praktisch unknackbar, weil zu lang. Sonderzeichen und vor allem Umlaute in Kombination von einem Passwort, dass deutlich länger als 12 Zeichen ist, schützt recht gut selbst vor Angriffen über Rainbow-Tables. Alle kurzen und einfachen alphanumerischen Passwörter hingegen sind sehr schnell ermittelt.
Sollten die Passwörter wie in der Mt.Gox-Mail hingegen tatsächlich nur verschlüsselt sein, muss nur das Passwort für die Verschlüsselung geknackt werden, um schlagartig an alle Passwörter zu kommen.

Handeln Sie sofort!
Jeder, der einen Mt.Gox-Account besitzt, sollte daher sofort folgendes machen:
1. Überprüfen Sie regelmäßig Ihren Post-Eingang auf E-Mails mit neuen Anweisungen von Mt.Gox (und doppelprüfen Sie, ob die E-Mail auch tatsächlich von Mt.Gox stammt – es wird garantiert Phishing-Versuche geben, um Ihre Login-Daten zu erschleichen!).
2. Falls Sie den Login-Namen und vor allem das Passwort auch an anderer Stelle benutzt haben (was man nicht sollte), ändern Sie diese sofort! Die Täter werden versuchen, sich auch bei anderen Diensten mit den Login-Daten anzumelden.
3. Keine Panik, aber handeln sie zügig.

Hier die Original-E-Mail vom Mt.Gox-Support:

Dear Mt.Gox user,

Our database has been compromised, including your email. We are working on a
quick resolution and to begin with, your password has been disabled as a
security measure (and you will need to reset it to login again on Mt.Gox).

If you were using the same password on Mt.Gox and other places (email, etc),
you should change this password as soon as possible.

For more details, please see this:

https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

The informations there will be updated as our investigation progresses.

Please accept our apologies for the troubles caused, and be certain we will do
everything we can to keep the funds entrusted with us as secure as possible.


The leaked data includes the following:

- Account number
- Account login
- Email address
- Encrypted password

While the password is encrypted, it is possible to bruteforce most passwords
with time, and it is likely bad people are working on this right now.


Any unauthorized access done to any account you own (email, mtgox, etc) should
be reported to the appropriate authorities in your country.


Thanks,
The Mt.Gox team

Schlagworte: , , , , , ,

Schreibe einen Kommentar