GMX Accounts können gehackt werden? - page 7.

molecular

donator

Activity: 2772

Merit: 1019

interessant:

http://pastebin.com/acNuD6Tb

Quote from: http://pastebin.com/acNuD6Tb

Re: Databases (from Cryptocurrency Business Forum)

From:
"the messiah" <[email protected]>
To:
"Support BitBiz.io" <[email protected]>
Date:
Dec 12, 2014 3:10:42 PM
We did not mean 100 btc(rather $100 USD in BTC), we doubt anyone would have such a large amount of money.
We got into satoshi's gmx e-mail, but it was deleted.
"By the way, I understand hacking and the fun from it, but erasing files and databases isn't exactly ethic hacking. Did you really feel a need to do that?

" yes of course, be happy we didn't decide to change the donation addresses but rather defaced your site.

As for the gmx exploit, it works for most e-mails.
We've probably done every single publicly posted gmx e-mail address, which is the reason why we are selling it for such a cheap price :p.

We'll also provide a short list of domains the exploit works for(you can always fine more, but icbb).

If you don't have access to your e-mail anymore:
[email protected]:***
previous bitbiz.io cpanel login info: bitbiz.io => bitbizio:i***
here are some e-mail accounts we've checked and found to be worthless(hence the reason why we are providing you them).
[email protected].uk:*** - bad.
[email protected]:*** - shit
[email protected]:*** - dead.
FanEagle:[email protected]:***
[email protected].uk:*** ***
[email protected]:***
[email protected]:*** - Phoenix3333 - ***
[email protected].uk:***
[email protected]:***
[email protected].uk:***
[email protected] - bad.
[email protected].uk:***- china-yaxin.com is where he buys his drugs.
[email protected].uk:***
[email protected].uk:*** - daed
[email protected]:***

[email protected] correct? That e-mail is deleted, so we were not able to get into it in time.

To be honest, we cannot get into every single gmx e-mail, but for most, yes.

Sent: Friday, December 12, 2014 at 4:04 AM
From: "Support BitBiz.io" <[email protected]>
To: Centuries <[email protected]>, [email protected]
Subject: Re: Databases (from Cryptocurrency Business Forum)
Hey,
Well the thing is we have the databases, very recent backup actually.
About the second offer, as you can see we are poor community just yet, so we have nowhere near 100btc. Neither we are interested in such an offer.
However we can report the exploit for you and split the reward.

About the hashes, yes every hash can be cracked with the right dictionaries, rules and GPU power, but given the reward will be access to just a forum username, I doubt you will go through the hassle.
We are aware of the shared host problems, looking to upgrade it soon

By the way, I understand hacking and the fun from it, but erasing files and databases isn't exactly ethic hacking. Did you really feel a need to do that?

Any idea if the same gmx exploit was used to hack Satoshi's gmx email account?
Can you get into ANY gmx acc?

On 12/12/2014 12:57 AM, Centuries wrote:

Cryptocurrency Business Forum
The following message has been sent from Centuries <[email protected]> via the contact form at Cryptocurrency Business Forum.

Databases
Centuries

i'll sell you back your databases for $50 btc
i'll sell you the exploit for gmx for $100 btc, so you can report it and get any money they send you(I can't give my details to gmx, so I can't report the exploit).\
my btc address is: 135e7GgL6RzfGCwWuHmqSrxLFrTuVJSjG5
you can e-mail me at: [email protected]
thanks.
btw: the hases can be cracked.
btw2: to the guy who said we are "dosing" you, we aren't dosing/ddosing you. It's your shitty hosting provider who doesn't have 2-auth.
http://bitbiz.io/

(I removed the passwords in my quote, they are in the pastebin.)

got link from twitter: https://twitter.com/ummjackson/status/544728238581223424

molecular

donator

Activity: 2772

Merit: 1019

In den passwort-reset-mails konnte ich keine attacker-ip finden, aber bei blockchain.info einlogg-versuch:

molecular

donator

Activity: 2772

Merit: 1019

Quote from: manfred87 on January 12, 2015, 02:45:43 AM

Einstellungen ( unten links nach dem einloggen ) -> Aktive Sitzungen ( Mitte oben )

ah, cool. Ich seh grad, da gib'ts auch eine Möglichkeit laufende Sitzungen manuell zu beenden (Mülleimer mit "X" drauf). Hätte also einer von euch machen können als ihr euch mit den Sessions gebattelt habt.

molecular

donator

Activity: 2772

Merit: 1019

Quote from: manfred87 on January 12, 2015, 02:45:43 AM

Also die IP kommt von den ganzen Diensten wo er auf "Passwort vergessen" geklickt hat.. GMX selbst gibt ja gar nix raus! Die Telefonnummer hatte er dann selber gesetzt für die Passwort-Vergessen-Option! Daher auch die Sternchen ( habs verpeilt es nochmal zu speichern bevor ich wieder meine Nummer hergestellt hatte )

Ich glaube eine Login-Historie gibt es nicht! Es gibt nur:
Einstellungen ( unten links nach dem einloggen ) -> Aktive Sitzungen ( Mitte oben )

ah, ja. ich guck mal meine passwort-reset-mails an...

noch 'ne Frage:

wie kann ich denn 'SSL im browser aktivieren'?

Ich geh auf http://httpS://gmx.net und werde auf http redirected Sad

manfred87

full member

Activity: 201

Merit: 100

Also die IP kommt von den ganzen Diensten wo er auf "Passwort vergessen" geklickt hat.. GMX selbst gibt ja gar nix raus! Die Telefonnummer hatte er dann selber gesetzt für die Passwort-Vergessen-Option! Daher auch die Sternchen ( habs verpeilt die komplette Nummer nochmal zu speichern bevor ich wieder meine Nummer hergestellt hatte )

Ich glaube eine Login-Historie gibt es nicht! Es gibt nur:
Einstellungen ( unten links nach dem einloggen ) -> Aktive Sitzungen ( Mitte oben )

molecular

donator

Activity: 2772

Merit: 1019

Quote from: manfred87 on January 12, 2015, 02:14:42 AM

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Bei mir war es genau andersrum: ich wurde gehackt (password wurde geändert), obwohl ich nie auf das webinterface gehe. Nur IMAP (STARTLS).

Ich glaube weiterhin an eine Lücke im passwort-reset-prozess.

molecular

donator

Activity: 2772

Merit: 1019

Quote from: manfred87 on January 12, 2015, 02:14:42 AM

bin auch betroffen.. gehackt am 31.12 nachmittags. Könnte am schlampigen Webinterface liegen.. sowohl Hacker als auch ich waren gleichzeitig eingeloggt und konnten beide lustig das Passwort hin- und herändern ohne dass die Session des anderen beendet würde.
Seine Handynummer: +436********415
Seine IP: 73.18.148.9

hab aber auch einen Java-Trojaner in meinem Thunderbird-Programm gefunden, vielleicht lag es daran.. ( dass wir eine stille email bekommen die das PW weiter leitet )

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Sicherheitsmassnahmen:
- PC auf Viren scannen
- Browser und Email-Client aktuell halten, eventuell Plugins deaktivieren ( Java, Flash etc.. )
- beim Webinterface vorm einloggen SSL im Browser aktivieren
- im Webinterface nachsehen ob Sessions von anderen IPs offen sind ( kann man dort schliessen )
- im Webinterface Virenscanner und Spamfilter aktivieren
- im Webinterface öfters Passwort ändern + darunter "mobile Zugänge zurück setzen" anklicken
- alle drei Passwort-Reset-Sachen aktivieren ( Email, SMS, Telefonfrage )
- Emails runterladen und nicht im Postfach lassen ( so findet der Angreifer lohnenswerte Ziele nicht )
- Filterregel erstellen: neue Emails automatisch löschen + an sichere Email weiterleiten ( z.B. Gmail mit 2-Faktor-Autorisierung )

Das sind gute tips.

Fragen:

woher hast du seine IP-Adr und Telefonnummer?
wo im web-interface kann ich offene sessions sehen?
gibts es etwa eine login-historie? Wenn ja wo? Ich finde soetwas nicht.

Acura3600

legendary

Activity: 2971

Merit: 1271

Wurde auch am 31.12 Abends zu Sylvester gehackt mit der gleichen IP.
Rückverfolgung ergab Washington/Michigan USA!
Die gleiche IP wie in deinem Fall!
Kann aber übern Proxy erfolgt sein mit der IP!
Nutze auch Mozilla Thunderbird.

manfred87

full member

Activity: 201

Merit: 100

bin auch betroffen.. gehackt am 31.12 nachmittags. Könnte am schlampigen Webinterface liegen.. sowohl Hacker als auch ich waren gleichzeitig eingeloggt und konnten beide lustig das Passwort hin- und herändern ohne dass die Session des anderen beendet würde.
Seine Handynummer: +436********415
Seine IP: 73.18.148.9

hab aber auch einen Java-Trojaner in meinem Thunderbird-Programm gefunden, vielleicht lag es daran.. ( dass wir eine stille email bekommen die das PW weiter leitet )

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Sicherheitsmassnahmen:
- PC auf Viren scannen
- Browser und Email-Client aktuell halten, eventuell Plugins deaktivieren ( Java, Flash etc.. )
- beim Webinterface vorm einloggen SSL im Browser aktivieren: https://www.gmx.net ( nicht .de oder so, dann wirds wieder ohne ssl )
- im Webinterface nachsehen ob Sessions von anderen IPs offen sind ( kann man dort schliessen )
- im Webinterface Virenscanner und Spamfilter aktivieren
- im Webinterface öfters Passwort ändern + darunter "mobile Zugänge zurück setzen" anklicken
- alle drei Passwort-Reset-Sachen aktivieren ( Email, SMS, Telefonfrage )
- Emails runterladen und nicht im Postfach lassen ( so findet der Angreifer lohnenswerte Ziele nicht )
- Filterregel erstellen: neue Emails automatisch löschen + an sichere Email weiterleiten ( z.B. Gmail mit 2-Faktor-Autorisierung )

molecular

donator

Activity: 2772

Merit: 1019

Quote from: qwk on January 11, 2015, 09:01:39 AM

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

Bei mir geht nur

rücksetzen per alternativer hinterlegter email-adresse
rücksetzen per sms token

dann gibt's noch eine telefon-frage und -antwort.

Meiner Meinung nach gibt es eine Sicherheitslücke irgendwie bei diesem Prozess. Es gab schonmal eine Anfang 2011, die wurde aber geschlossen.

Akka

legendary

Activity: 1232

Merit: 1001

Quote from: qwk on January 11, 2015, 09:01:39 AM

Also, ich muss jetzt schonmal recht blöd nachfragen, weil ich selber kein GMX habe:

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

Ich hatte nur Rücksetztfunktion per Mail an eine andere Adresse aktiv. Darüber habe ich dann auch wieder die Kontrolle über den Account übernommen.

Also so einfach wie das kennen der Sicherheitsfrage kanns nicht sein.

Quote from: qwk on January 11, 2015, 09:01:39 AM

Oder kann es sein, dass man sich den Zugang zu den GMX-Accounts in irgendeiner Weise mit Informationen verschaffen kann, die irgendwo hier im Forum auffindbar sind, ggf. auch über einen der Hacks der Vergangenheit? Schließlich scheinen bisher ja nicht reihenweise GMX-Accounts betroffen zu sein, aber eben sehr wohl eine Menge GMX-Accounts von bitcointalk-Nutzern.

Scheinbar habe alle die gehackt wurden ihre Mail Adresse zumindest 1 mal hier im Forum gepostet. In PM's in meiner Outbox behauptet der Hacker:

Quote from: Akka on January 08, 2015, 12:11:01 AM

It can reset pass to any email that is @gmx.net @gmx.de @gmx.ch @gmx.at, the email that you take must have a recovery option for it to work like a phone or email
give me an email and ill attempt to take it to prove it

ionication

full member

Activity: 152

Merit: 100

Kleine Ergänzung: Es war nicht die gleiche GMX-Adresse mit der ich hier bei bitcointalk registriert bin und es gibt auch keinerlei Ähnlichkeit im Namen oder mit meinem Nutzernamen.

Eine Sicherheitsfrage gibt es, aber die wird meines Wissens nur bei der Hotline verwendet. Einen solchen Reset via Hotline hat es aber laut Hotline nicht gegeben.

qwk

donator

Activity: 3542

Merit: 3413

Shitcoin Minimalist

Also, ich muss jetzt schonmal recht blöd nachfragen, weil ich selber kein GMX habe:

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

Oder kann es sein, dass man sich den Zugang zu den GMX-Accounts in irgendeiner Weise mit Informationen verschaffen kann, die irgendwo hier im Forum auffindbar sind, ggf. auch über einen der Hacks der Vergangenheit? Schließlich scheinen bisher ja nicht reihenweise GMX-Accounts betroffen zu sein, aber eben sehr wohl eine Menge GMX-Accounts von bitcointalk-Nutzern.

ionication

full member

Activity: 152

Merit: 100

Mein GMX-Account wurde ebenfalls gekapert, schon Ende November. Kam mit meinem Passwort nicht mehr rein. Nach Passwort-Reset über eine andere hinterlegte E-Mail-Adresse konnte ich wieder rein ins Postfach: Die von mir eingerichtete Dauer-Mail-Weiterleitung war deaktiviert. Es waren inzwischen etliche Mails aufgelaufen. Eine davon war in der Web-Oberfläche als bereits gelesen markiert: Eine Passwort-Reset-Mail für meinen alten Account bei campbx.com (US-Bitcoin-Börse), die ich natürlich nicht selbst angefordert hatte. Auch das dortige Passwort war bereits zurückgesetzt. Dank 2FA und mangels Guthaben ist dort allerdings kein Schaden entstanden.

Ich kann mir den Hack bis heute kaum erklären, da ich mich in den E-Mail-Account auch nur zweimal im Jahr einlogge, um eine Deaktivierung seitens GMX zu verhindern. Die GMX-Hotline war absolut gar keine Hilfe bei der Aufklärung. Logdaten würden ausschließlich an Ermittlungsbehörden ausgehändigt.

Schön, dass es mit der Passwort-Reset-Exploit-Sicherheitslücke möglicherweise jetzt eine Erklärung gibt.

yxt

legendary

Activity: 3528

Merit: 1116

Ja, da gebe ich dir recht.

Ich war nur verwundert warum die hier so oft empfohlen, gibt ja Alternativen die BTC akzeptieren.

Lincoln6Echo

legendary

Activity: 2461

Merit: 1058

Don't use bitcoin.de if you care about privacy!

Quote from: yxt on January 10, 2015, 08:25:41 AM

Hat eigentlich schon mal jemand bei Posteo angefragt wegen BTC Zahlung?

Betreiben die IP spripping?

Ja, habe bei Posteo schon mal angefragt. Die meinten, dass das Bitcoin Mining nicht zu ihrem ,,grünen'' Service passt. Roll Eyes

Habe Sie darauf hingewiesen, dass die Server, Desktops und Laptops von Banken, Paypal usw. ebenfalls weltweit gesehen eine erhebliche Menge an Energie verbraten. Die haben anscheinend Angst um ihr Image.

Aber je öfter jemand nach Bitcoin als Bezahlungsoption anfragt, desto besser!

yxt

legendary

Activity: 3528

Merit: 1116

Hat eigentlich schon mal jemand bei Posteo angefragt wegen BTC Zahlung?

Betreiben die IP spripping?

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: molecular on January 10, 2015, 08:06:33 AM

jajajaja, bitte!

Okay, Ende Februar/Anfang März wird geliefert.

molecular

donator

Activity: 2772

Merit: 1019

Quote from: OhShei8e on January 10, 2015, 05:42:34 AM

Quote from: mezzomix on January 09, 2015, 01:49:42 PM

@All: Muss demnächst einen Mailserver neu machen. Soll ich bei der Gelegenheit mal ein How-To erstellen und in meinem Blog/Wiki veröffentlichen? Vielleicht kann ich dann auch noch von euch was lernen.

jajajaja, bitte!

OhShei8e

legendary

Activity: 1792

Merit: 1059

Etwas was mir noch aufgefallen ist:

Ich war hier noch mit einer anonymen Adressen eines Deutschen Mailproviders (nicht GMX, nicht WEB.DE) angemeldet. Ich habe nie E-Mail-Benachrichtigungen bekommen, wenn es zu Themen neue Beiträge gab, obwohl ich die entsprechende Option angehackt habe. Nach der Diskussion hier habe ich meine Adresse im Forum mal auf eine meiner selbstverwalteten Adressen umgestellt und siehe da, schon kommen die Bestätigungsmails an.

Ich sehe, dass sie ein paar Punkte vom Spamassassin bekommen, aber nichts weltbewegendes, weshalb man sie ablehnen oder wegsortieren müsste. Sowieso schluckt mein Mailserver alles. Ich mag meine Mails roh und zappelnd. Oder kann es sein, dass das Forum an bestimmte Mailprovider nicht ausliefert, weil diese sich merkwürdig verhalten?

Zeigt mir jedenfalls wiedereinmal wie "gefährlich" es ist, sich auf einen Mailprovider zu verlassen. Man verliert am Ende Mails. Bei so ziemlich allen.

Topic: GMX Accounts können gehackt werden? - page 7. (Read 17803 times)