Mt.Gox-Hack: Kundendaten liegen offen im Netz

20. Juni 2011 | Von | Kategorie: Börsen und Märkte, Sicherheit

Mt.Gox Database accounts.csv leakedBereits gestern tauchten bei diversen Filehostern die beim Mt.Gox-Hack gestohlenen Kundendaten als CSV-Datei (Comma Separated Values) auf. Es handelt sich um 61016 Datensätze. BitcoinNEWS liegt die Datei vor, und eine kurze Analyse offenbart unerfreuliches…

UserID, Username und E-Mail liegen im Klartext, das Passwort jedoch als salted MD5-Hash vor. Nicht bei jedem Account ist eine E-Mail-Adresse angegeben, so dass gerade diese Nutzer es vermutlich schwer haben werden, nachzuweisen, dass es sich wirklich um ihre Bitcoins/US$ handelt. Etwas beunruhigend ist, dass knapp 2.000 der Passwort-Hashes offenbar ohne salt gespeichert wurden und daher relativ schnell mit einer Brute-Force- oder besser Rainbow-Table-Attacke herauszubekommen sind.

Mt.Gox accounts.csvEinem Hash sieht man durchaus an, wie er entstanden ist. Beginnt ein Hash mit „$1…“, handelt es sich um einen MD5-Hash. Folgt direkt darauf ein weiteres „$xxxxxxxx“, so ist das das salt im Klartext. Es kann und muss durchaus im Klartext vorliegen, denn das salt soll lediglich verhindern, dass man mit üblichen Rainbow-Tables schnell zum Erfolg kommt (Statt zu überprüfen, ob hash(passwort)=gestohlener_hash ist, muss hash(passwort+salt) überprüft werden. Vorgefertigte Rainbow-Tables können aber nicht für alle möglichen salt-Werte vorberechnet werden). Die Zeichenfolge hinter dem dritten „$………..“ ist dann der eigentliche Hash.

In der accounts.CSV-Datei von Mt.Gox findet man Werte wie 24f22d35360e4da9d8429f28503410d9, was beispielsweise dem MD5-Hash des Passwortes „BitcoinNEWS“ entspricht. Wird statt dessen ein Hash mit dem salt 0815noob gebildet, lautet der gebildete Hash

$1$0816noob$EUfBXFMcXmPp1BnjwRNlr/

.

96,8% der Mt.Gox-Hashes sind MD5-Hashes mit salt, also nur mit deutlich erhöhtem Aufwand zu knacken.

Unter Linux kann man diese Hashes sehr einfach selbst bilden:

echo -n "Passwort" | md5sum

spuckt einen nackten MD5-Hash aus,

openssl passwd -1 -salt salt

fragt nach dem Passwort und gibt dann einen MD5-Hash mit salt aus.

Ein MD5-Hash mit saltÜbrigens: Natürlich befinden sich auch meine Zugangsdaten in der öffentlich zugänglichen CSV-Datei, und ein kurzer Test mit dem dort angegeben salt und meinem (zum Glück sehr langen) Passwort errechnet wie auf dem Bild zu sehen auf meiner Linux-Workstation tatsächlich/logischerweise denselben salted MD5-Hash, der sich in der accounts.CSV von Mt.Gox befindet. Kein wirklich gutes Gefühl…

Schlagworte: , , , , , , ,

Schreibe einen Kommentar