Topic: Jemand hat versucht in meinen Mt.Gox Account einzudringen. (Read 4275 times)

Zephir fühlt sich durch meinen obigen Kommentar leider persönlich verletzt.
Dafür möchte ich mich in aller Form entschuldigen.
Es war nie meine Absicht Zephir zu beleidigen oder zu verletzen.

okay, mit fiat ist nat schwieriger.

Ich trade ja, mit dem was ich auf Gox habe, mittlerweile fast täglich.
Bin dort seit Fr. bei 101.5$ zu knapp 90% in FIAT und das bekommt man dort nicht so schnell raus.
Und in den Acc haben sie sich nicht einloggen können, durch die 2FA, ist eh alles gut gegangen.

was soll passieren wenn man auf dem mtgox account (schlauerweise) keine coins hat....oder hattest du coins drauf -.- ? shame on you 

Habe den heutigen Tag im Freien genießen können, nach dieser Erlösung heute früh, war nach dem trüben Wetter, die letzten Tage, mal eine Abwechslung.

Zu deiner Frage, also so schwer zu merken, sind solche Passwörter auch nicht.
Dürften derzeit so an die 10-12 Passwörter sein, wobei ich mir von den 5 neuen Passwörtern seit gestern, erst 3 gemerkt habe.
Wenn die Post it am Bildschirm hängen, merkt man sie sich im Unterbewusstsein, da sie im Blickfeld sind und wenn es nur eines ist, geht es wirklich ziemlich schnell.
Danach verbindet man im Kopf, automatisch, die Zeichen mit irgendetwas(Wörter,Erlebnisse,Gegenstände,etc), das für einen dann einen Sinn ergibt.
Hab das als Jugendlicher in irgendeiner Doku (ging da um Gedächtnismeisterschaften) mal gesehen, es einfach mal ausprobiert und es geht so leicht und mit der Zeit wird es immer leichter.
Und ich verwende sie nur bei sensiblen Sachen, wie dem Gox Acc, oder von anderen Exchanges, bzw E-mailkonten, oder so was.
Ist mir aber schon ein paar Mal passiert, dass mir ein Zeichen entfallen ist, wenn ich es mehrere Monate nicht benutzt habe, also ewig hält es sich bei mir auch nicht.

Zu den anderen Posts, ich glaube, dass evtl Android eine große Lücke sein könnte, oder Gox, oder ...

Leider habe ich zuwenig Ahnung von IT, um da irgendetwas eruieren zu können und da MS am WE schläft, bzw deren Support, weiß ich noch nicht, ob jemand in meinem E-mailacc war.
Sobald ich von MS was weiß, gebe ich Bescheid.

Digger, echt?!?

Hut ab!

Das Thema interessiert mich... dürfte ich fragen wieviele 20-30-buchstabige passwörter hast du in deinem Hirn gespeichert hast?

Also ich tippe einfach mal auf die DB von MT.Gox. Das wäre auch der "bequemste" Weg für den Angreifer.

phantastisch: Wenn du wirklich einen Topf willst schick mir deine Adress  Bedenke dass von dem Inhalt des Topfes keine Rede war

Alle anderen bekommen keinen Blumentopf mehr. Nicht dass hier noch jemand den Rechtsweg einschlagen will.

Nein, ich wollte eher folgende Frage in den Raum werfen:
Wenn ein Angreifer plötzlich auf die Idee kommt **massenhaft** Passwortrücksetzuns-Mails zu initiieren dann muss er doch einen Grund haben das zu tun, er muss dann doch einen Weg gefunden haben die Mails auch massenhaft zu lesen **ohne** noch umständlich jeden Mailaccount einzeln aufmachen zu müsen.

Wenn ich jetzt dem User einfach mal für ne Sekunde lang glaube daß tatsächlich niemand außer ihm selbst die Mail auf **normalem** Wege gelesen hat (normal = von irgendwoher ins gmail eingeloggt mit funktionierendem oder gestohlenem oder geratenem passwort) und dass sein Windows tatsächlich **nicht** trojanisiert ist dann stellt sich doch sofort die Frage: Wie ist der Angreifer dann an den Passwortrücksetzungscode gelangt?

Oder geht es vielleicht auch **ohne** den code, gibts hier vielleicht eine Lücke im Rücksetzungsvorgang so daß man die Mails gar nicht braucht, vielleicht leakt der code an anderer Stelle? Ich hab ja schon Pferde vor der Apotheke kotzen sehen!

Ich wolte keine sarkastischen Betrachtungen über allgemeine Mißstände am Rande des Themas initiieren sondern einen technisch plausiblen **möglichen** Tathergang für einen konkreten Fall rekonstruieren unter der verschärften Annahme zugunsten des Users daß dessen Rechner (und dessen Mail-Passwort) eben **nicht** kompromittiert sind. Können unter dieser verschärften Annahme die beobachteten Symptome immer noch irgendwie erklärt werden?

Naja, das schwächste Glied in der Kette ist natürlich der Benutzer. Und ich vermute dass Android hier der gemeinsame Nenner sein könnte. ;-)

Sarkasmus entdeckt !

Darf ich dir jetzt ein schlechtes Trustrating geben wenn du mir jetzt keinen Blumentopf schickst ?

Das Problem liegt natütlich am Benutzer.

Es läuft doch immer nach dem gleichen Schema ab:
1. Windows ist Schuld, der zeitlose Klassiker schlechthin. Kann ja der hacken!
2. Der Emailanbieter ist scheiße. Auch für jeden easy hackbar.
3. Das Passwort ist unsicher. Immerhin sind Passwörter a la E@*[email protected]/JA5gV*,C[Ce?JNKJ?@\]]JW*Qs%m nicht sicher, weiß man doch 
4. Die Regierung ist schuld.

Wer Sarkasmus entdeckt gewinnt einen Blumentopf.

Schickt MtGox vielleicht die E-Mails per SMTP ohne SSL raus und ein gelangweilter Techniker bei deren ISP hat mal eben seinen Laptop an der richtigen Stelle angestöpselt um alle ausgehenden MtGox E-Mails abzufangen noch bevor sie überhaupt bei irgendeinem SMTP eingeliefert werden? Wie sonst könnte ein Angreifer massenhaft Kenntnis vom Inhalt aller MtGox Passwortrücksetzungs Mails erhalten ohne jeden User-PC oder jeden Mailaccount einzeln zu knacken?

Mann das ging ja schnell.
Hab in den Account settings gerade gesehen, dass sich bei Mt.Gox bezüglich der Sicherheit schon was getan hat.
Wenn man jetzt ein neues Passwort anfordert, werden withdrawals automatisch für 24h gesperrt.
Sie bemühen sich ja.

Hab mein Passwort, gerade eben, zurücksetzen können.
Wie mir der Support, gestern schon, versichert hatte, konnte der Angreifer nicht auf meinen Acc zugreifen.
Die 2FA hat also wirklich standgehalten, bezüglich des E-mail accs, weiß ich noch nichts, da MS anscheinend am Wochenende keine Supportanfragen beantwortet, bzw. hab ich von denen noch nichts gehört.

Alles war unverändert, nichts wurde behoben, keine Coins und auch kein Geld, Wochenende gerettet.
Bin wirklich froh, dass diese Sache, so ausgegangen ist, man rechnet in so einem Fall, ja doch irgendwie mit dem Schlimmsten, auch wenn einem versichert wird das Alles safe ist, solange man es selbst nicht überprüft hat...

Kann auch dem Mt.Gox Support, nur mein Lob aussprechen, dass sie sich so schnell, um mein Anliegen bemüht haben und sofort Alles gesperrt haben.

Muss aber auch sagen, dass, wie einige hier schon erwähnt haben, Mt.Gox die Sicherheit erhöhen muss.
Passwort Resets clear in einer E-mail zu versenden, geht bei so etwas eig gar nicht.
Ebenfalls sollten sie nach einem Reset, automatisch, die Auszahlungen für einen gewissen Zeitraum sperren(24h oder sogar 7d).
Ideen wären ja einige vorhanden um die Sicherheit zu erhöhen, evtl hilft es ja, Magical Tux, hier im Forum mal darauf anzusprechen.
Ich werde in nächster Zeit sogar die withdrawal limits auf 0 belassen, bis ich mir relativ sicher bin, was da genau abging, bzw. wie ich so etwas, falls es mein Verschulden war, in Zukunft verhindern kann.

Möchte mich nochmals für die Anregungen bedanken, da man ja nie auslernt und für die Zukunft hoffen, dass sich so etwas vermeiden lässt.

Schönen Sonntag euch Allen.

Gute Idee. Ja, da könnte man einiges tun.

Mt.Gox sollte mal einführen, dass man eine fixe BTC Adresse zum auszahlen eingeben kann. Die wird dann "locked" und ein Dieb kann die BTC dann nicht auszahlen, bzw nur auf eine feste Adresse.

Änderungen müssten dann  7 Tage verzögert werden mit warnung per email oder so. Privatekey verlieren= 7 tage warten:P

Im Betreff der mail, steht nur: [Mt.Gox] Recover Password
Der Reset key steht erst in der Mail, oder du klickst auf den Link, dann ist der key schon auf der Seite von Gox, die sich öffnet, eingegeben.

Indem du Ihnen deinen Accnamen und die Emailadresse sagst.
Geh auf Mt.Gox.com und klick auf die Sprechblase ohne dich einzuloggen.
Das aufheben der Sperren, oder das erhöhen der Limits geht evtl nur eingeloggt.

Der Support-Login ist komplett getrennt vom übrigen Account. Macht irgendwie Sinn oder? 

Ja das ist die Hölle, aber leider sind die Dinger ultra-praktisch.

Eine Frage: Steht im Betreff der Passwortrücksetzungsmail der Rücksetzungscode?

Hintergrund meiner Frage: Ich leite Mails zu meinem Smartphone jetzt nur noch mit Betreff aber ohne den Inhalt weiter. Wäre natürlich sinnlos, wenn der Rücksetzungscode bereits im Betreff stünde.

Wie kann man denn im Support Chat chatten ohne eingeloggt zu sein?