Topic: User-Datenbank von Mt Gox veröffentlicht, ändert eure Passwörter! (Read 4190 times)
Nur mal interessehalber:
Bekommt Ihr dieses Passwort (sehr einfach) auch raus? Ist aus dem MS .Net Framework:
hash FCCC03173D898F221A2E3BD7E1892AF537C8F458
salt em+MAJT1bpJvLdQVWCexiLl+w6C+pnxIPA==
Und wie lange dauert es?
June 20, 2011, 11:18:07 AM
@El-Presidente :
Jein. Jeder der einen Account ohne Email Adresse registriert hat, soll sich wenn MtGox wieder online ist an den support wenden. Das ist alles an genaueren Informationen bisher. Ich hab hier mal an oberster MtGox Stelle nachgefragt.
Das wird dann wohl einzeln abgearbeitet... ich vermute mal man wird nach dem alten Passwort, Kontostand, letzte Transaktion o.ä. gefragt um zu beweisen das einem der Account gehört.
Jein. Jeder der einen Account ohne Email Adresse registriert hat, soll sich wenn MtGox wieder online ist an den support wenden. Das ist alles an genaueren Informationen bisher. Ich hab hier mal an oberster MtGox Stelle nachgefragt.
Das wird dann wohl einzeln abgearbeitet... ich vermute mal man wird nach dem alten Passwort, Kontostand, letzte Transaktion o.ä. gefragt um zu beweisen das einem der Account gehört.
June 20, 2011, 08:10:13 AM
Hi,
gibt es schon genauere Informationen zu den Accounts die sich ohne Mail-Adresse regestriert haben?
Werden diese gelöscht oder besteht noch die Möglichkeit dass man an sein Geld kommt?
gibt es schon genauere Informationen zu den Accounts die sich ohne Mail-Adresse regestriert haben?
Werden diese gelöscht oder besteht noch die Möglichkeit dass man an sein Geld kommt?
June 20, 2011, 06:45:00 AM
Da die Datei nicht mehr online ist, könnte jemand der die Datei hat verifizieren ob es der gleiche PW Leak ist den lulzsec die Tage rausgehauen hat?
IIRC waren das auch so um die 61K...
IIRC waren das auch so um die 61K...
Nö war nicht der gleiche Leak. Den Lulzsec-Leak habe ich sofort nach meiner Mailadresse gescannt und die war zum Glück nicht dabei ^^ Beim MtGox-Leak aber sehr wohl...
redd
June 20, 2011, 06:37:27 AM
Hi,
der Leak der MtGox Datenbank hat mich dann doch mal veranlasst mich zu registrieren und was zu schreiben. Von jetzt an gibts auch mehr von mir ;]
Aber BTT:
Da die Datei nicht mehr online ist, könnte jemand der die Datei hat verifizieren ob es der gleiche PW Leak ist den lulzsec die Tage rausgehauen hat?
IIRC waren das auch so um die 61K...
der Leak der MtGox Datenbank hat mich dann doch mal veranlasst mich zu registrieren und was zu schreiben. Von jetzt an gibts auch mehr von mir ;]
Aber BTT:
Ich habe gerade die Datei von Rapid-Share gezogen, da sind 61.000 Usernamen und Passwörter drinne. [...]
Da die Datei nicht mehr online ist, könnte jemand der die Datei hat verifizieren ob es der gleiche PW Leak ist den lulzsec die Tage rausgehauen hat?
IIRC waren das auch so um die 61K...
June 20, 2011, 05:46:30 AM
Ärgerlich, ärgerlich,
hatte gerade bei 1&1 einen Imap-Account eingerichtet um dieser unendlichen Spamflut bei GMX zu entgehen, und dann das.
Die ersten Spams sind schon eingetroffen. Werde in Zukunft solche Accounts nur noch mit einer Wegwerfadresse von Yahoo einrichten.
Ich sehe den Schaden erstmals darin, dass MT.Gox die E-Mail-Adressen im Klartext speicherte. Mein Passwort war eine 13stellige Kombination aus Buchstaben, Zeichen und Sonderzeichen, da ich bin ich zuversichtlich, dass das nicht so schnell geknackt wird. Allerdings waren/sind bei mir nur 1,24 $ zu holen.
Aber jetzt wird mein Imap-Account in Zukunft auch vollgespamt. Arrgh
hatte gerade bei 1&1 einen Imap-Account eingerichtet um dieser unendlichen Spamflut bei GMX zu entgehen, und dann das.
Die ersten Spams sind schon eingetroffen. Werde in Zukunft solche Accounts nur noch mit einer Wegwerfadresse von Yahoo einrichten.
Ich sehe den Schaden erstmals darin, dass MT.Gox die E-Mail-Adressen im Klartext speicherte. Mein Passwort war eine 13stellige Kombination aus Buchstaben, Zeichen und Sonderzeichen, da ich bin ich zuversichtlich, dass das nicht so schnell geknackt wird. Allerdings waren/sind bei mir nur 1,24 $ zu holen.
Aber jetzt wird mein Imap-Account in Zukunft auch vollgespamt. Arrgh
June 20, 2011, 02:41:03 AM
einer der security-muftis von google, mike hearns oder so, ist doch auch hier im forum, und hat die sperrung angeleiert.
Dann hätte er mein gmail PW auch geändert 
Im offiziellem MtGox Blog heißt es dazu: "We have been working with Google to ensure any gmail accounts associated with Mt.Gox user accounts have been locked and need to be reverified. "
Vielleicht hat man nur die gesperrt bei denen man weiß, dass das Passwort auf beiden Seiten verwendet wurde bzw. ein so simples Passwort bentutzt wurde das es schon auf den diversen veröffentlichten Listen zu finden ist.
Ich denke einfach der Asiate der MtGox gehackt hat
Es war ein Asiate der den Hack durchgezogen hat? Ich hab die letzten Stunden geschlafen, was hab ich noch verpasst?*g@leFBI
[...]
Hast mal versucht per GPU und ner Rainbow-Table die unix(md5) hashes zu "untersuchen"?
Das geht nicht...bzw gehen tut das schon ist aber ineffektiv. Jeder der hashes ist mit einem anderen salt versehen, also bräuchte man in dem Fall ~60000 verschiedene Rainbowtables. Die müsste man im voraus erstmal generieren...lohnt sich nicht, wenn man für jeden Hash erst eine eigene Rainbowtable erzeugen muss kann man auch gleich die bruteforce methode benutzen. Bruteforce ist bei unix md5 ineffektiv, also bleibt nur Wörterbuchattacke.[...]
Hast mal versucht per GPU und ner Rainbow-Table die unix(md5) hashes zu "untersuchen"?
Im Blog steht noch das jeder gezwungen werden wird ein neues, sicheres, Passwort zu setzen. Der Hashalgorithmus wird auch nochmal geändert, dann wird's noch schwerer.
"Entwarnung" gibt es für die Accounts bei denen die Passwörter nur per simplen md5 gespeichert wurden. Die Accounts sind quasi tot. Vor ein paar Monaten hat MtGox den Hashalgorithmus von md5() auf unix_md5() umgestellt, bei jedem der sich eingeloggt hat wurde der Hash automatisch umgestellt. Die veröffentlichten Accounts mit normalem md5() sind also Accounts bei denen sich seit Monaten keiner eingeloggt hat.
Quelle:
https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback
June 19, 2011, 09:31:51 PM
nö, daß war scheinbar. ganz schnödes menschlisches eingreifen bei google..
einer der security-muftis von google, mike hearns oder so, ist doch auch hier im forum, und hat die sperrung angeleiert.
einer der security-muftis von google, mike hearns oder so, ist doch auch hier im forum, und hat die sperrung angeleiert.
Dann hätte er mein gmail PW auch geändert
Würde da der Theorie von Kai zustimmen . .
June 19, 2011, 08:40:33 PM
nö, daß war scheinbar. ganz schnödes menschlisches eingreifen bei google..
einer der security-muftis von google, mike hearns oder so, ist doch auch hier im forum, und hat die sperrung angeleiert.
einer der security-muftis von google, mike hearns oder so, ist doch auch hier im forum, und hat die sperrung angeleiert.
June 19, 2011, 08:30:01 PM
Hi,
so vor dem schlafengehen noch kurz meine 10btcents:).
Wegen Google, war bei mir auch so. Ich denke einfach der Asiate der MtGox gehackt hat, hat gleich nach dem cracken der hashes jeden googleaccount per script abgefragt ob er reinkommt. Ich denke aber dies ist einfach ein IT-Security Happen von google. Ständige logins per deustcher ip und dann auf einmal ein login per asiatischer ip, bumm. Eigentlich sehr genial. Im Prinzip dürften heute viele simple und einfache sicherheitschecks dafür sorgen, das es einigermaßen sicherer wird.
Bei LR war der auch schon:).
n8
Kai
so vor dem schlafengehen noch kurz meine 10btcents:).
Wegen Google, war bei mir auch so. Ich denke einfach der Asiate der MtGox gehackt hat, hat gleich nach dem cracken der hashes jeden googleaccount per script abgefragt ob er reinkommt. Ich denke aber dies ist einfach ein IT-Security Happen von google. Ständige logins per deustcher ip und dann auf einmal ein login per asiatischer ip, bumm. Eigentlich sehr genial. Im Prinzip dürften heute viele simple und einfache sicherheitschecks dafür sorgen, das es einigermaßen sicherer wird.
Bei LR war der auch schon:).
n8
Kai
June 19, 2011, 08:23:24 PM
Sehr schön!
Bitmarket EU lässt nun alle Accounts ein neues Kennwort vergeben, weil sie wissen das manche User so blöd sind und ihr Kennwort auf 2 Seiten verwenden
Respekt!
Bitmarket EU lässt nun alle Accounts ein neues Kennwort vergeben, weil sie wissen das manche User so blöd sind und ihr Kennwort auf 2 Seiten verwenden
Respekt!
June 19, 2011, 07:51:51 PM
Wo ist denn die Datei veröffentlicht worden.
Ich habe die E-Mail auch bekommen und nicht nur das - GMail hat mein Passwort zurückgesetzt! (frage mich, wie die die Info bekommen haben).
Würde mit die veröffentlichte liste gerne ansehen, um zu sehen, was von meinen Daten da alles drin ist.
Hast du einen Link?
Ich habe die E-Mail auch bekommen und nicht nur das - GMail hat mein Passwort zurückgesetzt! (frage mich, wie die die Info bekommen haben).
Würde mit die veröffentlichte liste gerne ansehen, um zu sehen, was von meinen Daten da alles drin ist.
Hast du einen Link?
June 19, 2011, 07:40:07 PM
@leFBI
Grins, ja ich muss Dir da wohl recht geben, diejenigen deren Passwörter per unix(md5) abgespeichert worden sind sicherer als die jenigen die sich sogar einfach per md5-db herausfinden lassen. Im Prinzip schon klar das der server das salt wissen muss, ich wollte nur drauf hinweisen, das dies eigentlich die Schwäche ist wenn man es genau nimmt, weil es ja ein praktisch ein hash ohne salt ist.
Und ohne das Salt ist der Hash wieder anfällig für rainbow-table-attacken. Hast mal versucht per GPU und ner Rainbow-Table die unix(md5) hashes zu "untersuchen"?
Bringt natürlich nur was, wenn die Passwörter auch nur wenig Stellen haben.
Aber egal wie, das zeigt das wirklich drauf achten sollte, passwörter größer als 8 zeichen zu benutzen, sogar noch mehr als das pw cryptisch zu gestalten meiner Meinung nach, natürlich nur. Wenn man mehr als 8 Zeichen hat und komplizierte pw ist natürlich optimal.
Aber hey so words-list,rainbow-table-dbs und ne gpu ist auch schon etwas was man nicht unterschätzen sollte:).
Jut Nacht
Kai
Grins, ja ich muss Dir da wohl recht geben, diejenigen deren Passwörter per unix(md5) abgespeichert worden sind sicherer als die jenigen die sich sogar einfach per md5-db herausfinden lassen. Im Prinzip schon klar das der server das salt wissen muss, ich wollte nur drauf hinweisen, das dies eigentlich die Schwäche ist wenn man es genau nimmt, weil es ja ein praktisch ein hash ohne salt ist.
Und ohne das Salt ist der Hash wieder anfällig für rainbow-table-attacken. Hast mal versucht per GPU und ner Rainbow-Table die unix(md5) hashes zu "untersuchen"?
Bringt natürlich nur was, wenn die Passwörter auch nur wenig Stellen haben.
Aber egal wie, das zeigt das wirklich drauf achten sollte, passwörter größer als 8 zeichen zu benutzen, sogar noch mehr als das pw cryptisch zu gestalten meiner Meinung nach, natürlich nur. Wenn man mehr als 8 Zeichen hat und komplizierte pw ist natürlich optimal.
Aber hey so words-list,rainbow-table-dbs und ne gpu ist auch schon etwas was man nicht unterschätzen sollte:).
Jut Nacht
Kai
June 19, 2011, 07:28:11 PM
Scheinbar hat der die Daten doch schon vorher, am ~ 15-16.06. gehabt...
http://sickdump.blogspot.com/2011/06/mtgox-db-got-leaked.html
http://sickdump.blogspot.com/2011/06/mtgox-db-got-leaked.html
June 19, 2011, 07:19:38 PM
Die account-Daten wurden zum Verkauf angeboten:
http://www.xsized.de/hintergrunde-zum-bitcoin-crash-bei-mt-gox/
http://www.xsized.de/hintergrunde-zum-bitcoin-crash-bei-mt-gox/
June 19, 2011, 07:03:36 PM
Ich hoffe genau auf das Gegenteil*g ich hab keine Emailadresse bei der Registrierung angegeben....
Stimmt
Die müssen.. Tja, evtl sich mit vorangegangenen Transfers, Kontonummer usw? Ausweisen. . Derweil ist der Account deaktiviert.
Anders wird das wohl nicht klappen.
June 19, 2011, 06:41:53 PM
Also wenn ich mir das ansehe und schnell mal überprüfe ist das Passwort doch mit dem billigen Crypt_MD5 Allgo gehasht. Der 8Stellige Salt liegt plain im Hash vor.
md5(unix) ist nicht billig und das salt für jedes einzelne Passwort >muss< im Klartext vorliegen. Wenn es das nicht tun würde, müsste der Server jedesmal wenn du dich einloggst erst dein Passwort per bruteforce knacken um es überprüfen zu können...Zum Vergleich:
Ich hab hier weiter oben das eine normale md5 Passwort geknackt, das lief mit ~980Mhash/s
Wenn ich mit der selben Grafikkarte eine Wörterbuchattacke (und nur die ist bei md5(unix) sinnvoll) auf die hashes starte liegt die Hashrate bei ~640.0k/s
Das ist alles andere als schnell oder billig...
Hoffentlich schicken die bei den Leuten mit Email eine Bestätigung zum PW ändern, nicht einfach alle freischalten. :/
Ich hoffe genau auf das Gegenteil*g ich hab keine Emailadresse bei der Registrierung angegeben.... June 19, 2011, 06:25:57 PM
Also wenn ich mir das ansehe und schnell mal überprüfe ist das Passwort doch mit dem billigen Crypt_MD5 Allgo gehasht. Der 8Stellige Salt liegt plain im Hash vor. Habs gerade mit meinem Passwort überprüft, paßt. Prima ITler da bei MtGOX:).
Ein MD5-Allgo mit cleveren Salt ist nun selbst bei Omas-Küchenrezepte-Seite trechic:).
Also für HTTP-Auth, was ja nun garnicht geht, ist Crypt_MD5 ja gerade noch so verständlich, aber für so eine große Seite wie MtGOX, das wundert mich.
Also reine MD5 Hashes sehe ich in der csv ziemlich selten. Die Crypt_MD5 scheinen wirklich häufiger anzutreffen zu sein, zumindestens bei meinem account und so alt ist der nicht.
Ein MD5-Allgo mit cleveren Salt ist nun selbst bei Omas-Küchenrezepte-Seite trechic:).
Also für HTTP-Auth, was ja nun garnicht geht, ist Crypt_MD5 ja gerade noch so verständlich, aber für so eine große Seite wie MtGOX, das wundert mich.
Also reine MD5 Hashes sehe ich in der csv ziemlich selten. Die Crypt_MD5 scheinen wirklich häufiger anzutreffen zu sein, zumindestens bei meinem account und so alt ist der nicht.
June 19, 2011, 06:22:50 PM
1. Greift am 16. oder 17.06. die Seite an
Dem würd ich so zustimmen, der veröffentliche Teil der DB ist entweder nicht vollständig oder der eigentliche Angriff fand schon vor ein paar Tagen statt, denn in der veröffentlichten Liste fehlen die ca. 500 letzten Accounts. Die höchste ID in der Datei ist ~61000, heut morgen war man bei mtgox aber schon bei ~ 61500.Der Rest ist aber alles reine Spekulation, das weiß nur der Hacker selbst bzw MtGox der es eventuell an Hand der Logdaten rekonstruieren kann.
Japs, und die Hashes lagen schon vorher bei Online Hashdatenbanken vor
Btw. hat MTG grad eine Email rausgelassen. Hoffentlich schicken die bei den Leuten mit Email eine Bestätigung zum PW ändern, nicht einfach alle freischalten. :/
Quote
Dear Mt.Gox user,
Our database has been compromised, including your email. We are working on a
quick resolution and to begin with, your password has been disabled as a
security measure (and you will need to reset it to login again on Mt.Gox).
If you were using the same password on Mt.Gox and other places (email, etc),
you should change this password as soon as possible.
For more details, please see this:
https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback
The informations there will be updated as our investigation progresses.
Please accept our apologies for the troubles caused, and be certain we will do
everything we can to keep the funds entrusted with us as secure as possible.
The leaked data includes the following:
- Account number
- Account login
- Email address
- Encrypted password
While the password is encrypted, it is possible to bruteforce most passwords
with time, and it is likely bad people are working on this right now.
Any unauthorized access done to any account you own (email, mtgox, etc) should
be reported to the appropriate authorities in your country.
Thanks,
The Mt.Gox team
Our database has been compromised, including your email. We are working on a
quick resolution and to begin with, your password has been disabled as a
security measure (and you will need to reset it to login again on Mt.Gox).
If you were using the same password on Mt.Gox and other places (email, etc),
you should change this password as soon as possible.
For more details, please see this:
https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback
The informations there will be updated as our investigation progresses.
Please accept our apologies for the troubles caused, and be certain we will do
everything we can to keep the funds entrusted with us as secure as possible.
The leaked data includes the following:
- Account number
- Account login
- Email address
- Encrypted password
While the password is encrypted, it is possible to bruteforce most passwords
with time, and it is likely bad people are working on this right now.
Any unauthorized access done to any account you own (email, mtgox, etc) should
be reported to the appropriate authorities in your country.
Thanks,
The Mt.Gox team
June 19, 2011, 06:17:30 PM
Ok.
5bed6438bf8114083e513f5660443ba0
Nur soviel sei gesagt, es ist 7-stellig und entspricht deinen Kriterien.
5bed6438bf8114083e513f5660443ba0 ==> n9Wbnw35bed6438bf8114083e513f5660443ba0
Nur soviel sei gesagt, es ist 7-stellig und entspricht deinen Kriterien.
Das war jetzt nicht >so< schwer
Gedauert hat es 1 Minute, 50 Sekunden per stupidem bruteforce(ohne Wörterbuch) auf einer HD4870...die nun auch schon etwas betagt für diese Zwecke ist.
Ich hab bei der Gelegenheit die 1700 normalen MD5 durch ein kleines 3,6GB Wörterbuch gejagt...459 sofort geknackt. Also mit den Passwörtern nehmen es die Leute wie immer nicht so genau. Nichtmal wenn's um Geld geht
1. Greift am 16. oder 17.06. die Seite an
Dem würd ich so zustimmen, der veröffentliche Teil der DB ist entweder nicht vollständig oder der eigentliche Angriff fand schon vor ein paar Tagen statt, denn in der veröffentlichten Liste fehlen die ca. 500 letzten Accounts. Die höchste ID in der Datei ist ~61000, heut morgen war man bei mtgox aber schon bei ~ 61500.Der Rest ist aber alles reine Spekulation, das weiß nur der Hacker selbst bzw MtGox der es eventuell an Hand der Logdaten rekonstruieren kann.
Jump to: