Topic: [2011] MtGox.com ha sido comprometido - Mira si tienes una cuenta con ellos (Read 9995 times)

+1000

Hasta ayer he usado el GoogleAuth y ahora que tengo mi yubikey uso los dos, de esta forma no importa si pierdes o rompes uno de los dos.

¿Es posible que tengas un troyano keylogger o algo por el estilo?

En cualquier caso te recomiendo un yubikey. A mi me dieron uno gratis en marzo por la creciente cantidad de robos. Con un yubikey (o cualquier otro método de autenticación de 2 factores) no pueden entrar a tu cuenta ni aunque tu ordenador esté comprometido. Es un pincho USB que simula ser un teclado y genera una clave de un solo uso al pulsar su botón.

pues yo empece a farmear en el 2012 y tenia 50 euros, entraron en mi cuenta, comparon bitcoins y los mandaros a una direccion. y mi contraseña tenia numeros y letras bastante dificil de crackear. me da a mi que hay gato encerrado.

Ojo!, que esto es de 2011

que mal

Muchas gracias por el detalle

Deberían desfijar este hilo, hace ya tiempo que pasó lo de MtGox y mejoraron mucho la seguridad.


Eso sí que debería estar fijo: Nunca jamás uséis la misma contraseña en todos los sitios. Os recomiendo esto, que os genera una contraseña diferente a partir de una contraseña maestra: Oplop

Por ejemplo, para obtener mi contraseña para entrar a este foro, voy a Oplop, pongo "bitcointalk" en el primer recuadro, mi contraseña maestra en el segundo y obtengo algo como esto: uAv9hzjv

Ese sitio web es javascript (no se envía nada al servidor) y está el código para bajar, así como versiones para móviles.

A mi ya me robaron, mi error fue tener la misma contraseña en casi todos los sitios, me robaron de mtgox, me robaron de vircurex, ¿que puedo hacer? tenia como 14 bitcoins que me costaron muchisimo tiempo obtener, y ahora ya no puedo entrar a mi cuenta en mtgox, he intetado re obtener mi password pero el hacker supongo cambio mis datos y aunque solicito mi contraseña siemplemente no me llega. Esto paso apenas el fin de semana pasado, tal vez el sabado 11 de febrero de 2012. Estoy realmente triste, ¿que mas pudiera hacer?

Debería este hilo seguir estando fijo?

Pero mi cuenta de mybitcoin no tiene el mismo user. Además, en mtgox no tenía nada porque me lleve la sorpresa de que mi única manera de comprar bitcoins sería usando un servicio que no estaba disponible para mi país :-/.

La única manera que me roben algo (0.11 btc) es entrando a mi cuenta mybitcoin, cosa que dudo que logren a menos que crackeen el sitio :-|.

LOL. No iba a decir nada, pero si insistes...

Tu esquema ##a#a#aa##***## es equivalente a ########aaaa***. 10 dígitos, 4 letras y 3 especiales hacen:

10^8 * 52^4 * 31^3 = 21782035225600000000 ≈ 2.1782e+19.

(He cogido 31 especiales, que son los caracteres entre 32 y 127 que no son letras ni números).

Todo el espacio posible es:

(10+52+31)^(8+4+3) = 336700862051614156853075413557 ≈ 3.367e+29.

Por tanto, con el simple hecho de haber publicado eso, has hecho tu clave 10 órdenes de magnitud más fácil de romper.

Eso unido a que "shackra" aparece en el CSV...

pues, buena suerte al listillo que intenté asociar ese esquema a uno de los tantos correos electrónicos dumpeados de mtgox :-P

Alguien tiene noticia, de cuanto demora el proceso de verificacion de mtgox?

yo ya inicie el proceso de verificacion, pero falta la parte final en donde finalmente te puedes logear a tu cuenta.

Si alguien sabe algo por favor informar aqui.

En la lista ví que había muchas cuentas de prueba o falsas, yo mismo también cree una para testar. En ese tipo de cuentas puedes usar ese tipo de passwords, sino no es así no tiene perdón. En MtGox usé una contraseña especialmente complicada,  y de 15 caracteres, algo que no suelo hacer con frecuencia.


Una buena idea es usar algo así para gestionar tus passwords:    http://passwordmaker.org/passwordmaker.html
con este sistema no se "guardan" tus password en ningún sitio.

Lo primero que te recomiendo es no andar publicando es esquema de tu contraseña por que así sería mucho más fácil descifrarla con fuerza bruta.

Lo segundo es buena, siempre y cuando que no sea algo común, o por decirlo así, algo que otra persona también pudiera haber usado como contraseña, ya que muchos diccionarios se hacen a partir del robo de contraseñas no cifradas.

A mi me preocupa bastante la lista de cuentas publicadas, he mirando los MD5 se nota que hay usuarios que siguen usando cosas como abc123 o qwerty como contraseña, estamos hablado de dinero....

MtGox ha funcionado así siempre. Todas las operaciones internas se hacen fuera del sistema Bitcoin y llevan una contabilidad para conocer el saldo de cada cliente, como cualquier banco. Eso no es ningún problema, es la única forma de hacerlo.

Todo esto es una prueba por la que había que pasar y a mí no me preocupa (salvo por lo que algún periodista ignorante pueda llegar a contar) ya que no afecta la más mínimo a la seguridad de la arquitectura Bitcoin.

Bitcoin es infinítamente más seguro que cualquier otra moneda o commodity, no se puede falsificar, pero sí que se puede robar. Bitcoin es anónimo y en ese sentido funciona como el CASH. Cuando dejamos que un servicio online como MtGox guarde nuestros bitcoins es como si los pusiéramos en una caja de seguridad en un banco. Si los roban de ahí, los has perdido. Así que antes de elegir una caja de seguridad fuera de tu casa debes estar muy seguro de que no va a poder ser reventada. Cuando he comprado bitcoins en MtGox los he sacado de ahí rápidamente y tampoco he dejado saldo en dólares. No me puedo fiar más que lo justo de un servicio que no sabes quién lo gestiona ni cómo lo hace. La falta de transparencia no es buena si quieres tener la confianza de los usuarios. Todo este asunto del anonimato extremo no es bueno, pero deriva del mundo criptográfico en el que surge Bitcoin.

Si Tradehill quiere romper barreras, debe salir del anonimato y del misterio, coger el toro por los cuernos y operar con transparencia dentro de un marco legal. Bitcoin es dificil de clasificar dentro de una figura legal ya existente, pero ante la falta de una figura espefífica, debería acogerse a la de otras commodities como el oro o la plata.

Son pasos que hay que ir dando.

Sólo he leído el primer mensaje, y bastante por encima. Me parece que un tipo que ha sacado una pasta tan fácilmente, no se toma las molestias en preparar un mensaje tan largo, dirigido únicamente a quemar al mercado donde ha conseguido esa pasta.

Ese es un troll, o es de la competencia.

mi contraseña tenia el siguiente esquema:

##a#a#aa##***##

los # significa numero, las a significa que va una letra y los * significa que va un simbolo.
creen que sea lo suficientemente buena para aguantar un ataque por diccionario?

http://forum.bitcoin.org/index.php?topic=20207.0

Esto empieza a apestar de verdad. Todo apunta a que la cuenta bitcoin de la que se ha sacado todo es, precisamente, la de MT Gox, y que por eso ha salido tan rápido a decir que se van a revertir todas las operaciones. Los argumentos son de peso como mínimo.

Credibilidad de la gente de MtGox --;

Lo que no se sabe aun son las perdidas totales que pudieran haver.
Ya que es possible que en dolares los crackers solo pudieran robar la cantidad de $1000, es posible que en bitcoins la cifra sea muy superior, ya que segun tengo entendido no hay limites en las retiradas de los bitcoins.

Una  buena idea que escuche que van a implementar es la de otra contrasen~a para retir dinero de mtgox.

La gente tiene falsas idea de seguridad por ejemplo limitar los intentos de logeo es bueno, pero poner un numero de intentos de 1 o 2 logeos es mala idea, ya que es bueno motivar el uso de claves largas, por otro lado si no hay control de intentos de el logeo en un par de segundos se podran hacer miles de intentos de logeo y eso es malo.

Unos 5 intentos de logeo, con un tiempo de demora de unos minutos en caso de falla de clave seria buena idea, despues de todo ningun cracker va a esperar 10 minutos por ejemplo para hacer solo 5 intentos, eso seria un intento por cada 2 minutos, en cambio sin medidas de seguridad se pueden hacer miles de intentos por segundo lo cual es malo.

si la cantidad de intentos se limita a un intento esto es malo, ya que habra una tendendia a usar claves simples que son faciles de craquear a fuerza bruta.