Topic: User-Datenbank von Mt Gox veröffentlicht, ändert eure Passwörter! - page 2. (Read 4194 times)

Nein weiß ich zugegebenermaßen nicht auswendig
Solltest aber beachten, dass das Eintrag Nr. 1720 in der DB war (zumindest wenn die IDs stimmen), und somit vermutlich weniger der Admin Account

Seh ich auch so, leepfrog.

Ich schätz auch, das MtG nicht viel Ahnung hatte.


Ablauf aus deren Sicht:

1. Jemand startet eine hohe Abhebung welche das tägliche Limit überschreitet (1000$ oder warens 2000$ ? )
2. Die werden alarmiert, evtl der User angeschrieben, stoppen das ganze
3. Versuchen alles wieder gerade zu biegen.

Angreifersicht:
1. Greift am 16. oder 17.06. die Seite an, holt die Frontenddaten und knackt diverse Accounts (Lässt Hashes "knacken")
 - Das könnte die häufigen "Mein Account wurde gehacked, habe aber ein sicheres System!"  Meldungen erklären.
 - MTGox erkennt das noch nicht, tut es als Fehler der User ab
2. Er trifft auf einen großen und holt sich da das ganze Geld. Das Limit wird erreicht, Account wird überprüft. Alternativ kann er auch gleich mehrere "größere" verwenden und gleichzeitig überweisen.
3. Er sieht das nicht sehr viel geht, versucht rauszuholen was er kann, doch MtG sperrt das System, die Seite usw.  Er veröffentlicht aus Protest die Useraccounts. Oder um MTG zu schaden.

Die Verluste wird MTGox (wenn überhaupt) durch ihre eigenen Reserven ausgleichen müssen.

Beim Backend hätte er es vermutlich erheblich leichter gehabt. Dort kann er selbst Anweisungen durchführen, bzw. "gelagerte" Bitcoins auslesen und all das. Ich glaub nicht das er bis dahin gekommen ist.

Gut das veröffentlichen der Bitcoin Adressen würde ihm auch nichts bringen, da der Markt dann sofort reagiert und er vermutlich nichts mehr ausgezahlt bekommt.

_Jeder_ _auswendig_? ... Du hast Ideen... Ich hoffe du meinst das nicht ernst!

der kerl über mir hat offenbar nicht soviel ahnung wie er tut, sonst wüsste er dass voll egal ist wie der hash los geht.
md5 für admin123 ist z.b. 0192023a7bbd73250516f069df18b500
also was soll das sagen?

Na, wie ist wohl der MD5-Hash für "admin"? Richtig 21232....................... das sollte doch wohl jeder auswendig wissen...

Klingt nach einem Plan

Ich denke das ganze wird sich mit SICHERHEIT negativ auf die Beliebtheit von MtGox auswirken. Das ganze führt dann zu einer exponentiellen Anzahl neuer User bei den Alternativmärkten. Selbst falls diese gestemmt werden können ist es fraglich, in wiefern diese Sicher vor solchen Problemen sind (MtGox war halt jetzt ein attraktives Ziel, das bedeutet nicht, dass die Alternativen besser abgesichert sind).

Weiterhin wird das Ganze imo zumindest vorübergehend den BTC Kurs erheblich drücken..

+1

Guter Plan!
Btw. hier gibt es auch mindestens einen nicht-Informatiker.

Ok.

5bed6438bf8114083e513f5660443ba0

Nur soviel sei gesagt, es ist 7-stellig und entspricht deinen Kriterien. Bin selber mal gespannt, also wenn das jemand ausrechnen möchte, bitte.

Aber genau aus diesem Grund habe ich auch von einem hinreichend sicheren Passwort gesprochen.

Das ist kein Problem. Ich habe genügend Datenbanken >500G verwaltet, wenn die Datenbankserver gut optimiert und die Datenstruktur eine Saubere sind stellt das absolut kein Problem dar.
Aber das soll hier auch kein Thema sein, daher würde ich vorschlagen wir lassen trotz jedem Informatiker-sein die Trollerei ruhen und schauen dass wir noch einigermaßen gut aus der Situation herauskommen.

Au weia... lasst doch mal gefährliches Halbwissen da raus.

@Dennis:
1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
2. In der Datei war kein Root Eintrag. Macht ja auch keinen sinn - es geht immerhin um die User des Dienstes und nicht um den Server- oder MySql-Root User
3. Nix proprietär. Es ist stink normales gesalzenes MD5

@Dev:
1. Bezüglich der Rainbow Tables.. ja ne ist klar. Das will ich sehen wie du ~200GB Rainbow Tables in 2 Sekunden durchsuchst.
2. Wenn du ein ausreichend sicheres Passwort hast, kommst du auch mit Rainbow Tables nicht weiter

@Nyx:
Es ist völlig egal ob die gesalzen sind oder nicht. Einfaches Passwort = schnell ge-brute-forced

Na ja, wenn man ehrlich ist, entbehrt es nicht einer gewissen Ironie, die einen minen für BTCs, die anderen, um PW zu cracken. ;-)

~1700
nix propritär. md5(unix)

Liegt daran das man während der Registrierung bei mtgox keine Email-Adresse angeben muss... aber kann

^^^^^^Genau das! Es dauert eine halbe Ewigkeit die md5(unix) hashes zu knacken, selbst per Wörterbuchattacke. Anders sieht's mit den 1700 normalen md5 hashes aus, da ist es schon kritisch wenn man ein zu kurzes Passwort benutzt hat.

Passwort ändern sobald mtgox wieder online ist.

die paar 100 Passwörter von mtgox die nur md5-gehast waren, sind bereits gecrackt: https://uloadr.com/u/CF.txt

Der leak liegt schon 2 Tage zurück, habe manche Passwörter in älteren Listen gefunden...  

Das Feld war optional - ich bspw. habe es ebenso wenig ausgefüllt.
Was ich mich nun nur frage... wenn wie auf Mt. Gox genannt alle Kennwörter zurückgesetzt werden... wie können sich Benutzer ohne E-Mail-Adresse dann wieder einloggen?  

Ich habe zwar regelmäßig das Konto dort ausgeglichen, aber über das Wochenende hin liegen doch ein einstelliger BTC- und hoher zweistelliger $-Betrag bei denen...

(Fuck.)

@Dennis1234

Für MD5 gibt es Rainbow-Tables... 2 Sekunden.

mtgox ist tot! vergesst es...
Gründe muss ich wohl keine Aufzählen:
- Leak
- Backup der Order
- Backup des Preises
und dass obwohl nicht mehr alle Bitcoins vom Morgen da sind, sondern schon verschoben wurden.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.

Hab vor lauter Paranoia sogar meine Win Partition Bitcoinfrei gemacht und überlege ob ich sie ganz platt mach.

Verschiedene Passwörter hab ich überall schon. Wird nen Riesiger Imageschaden für Mt Gox werden bin mal gespannt wie es weitergeht.

Ich habe gerade die Datei von Rapid-Share gezogen, da sind 61.000 Usernamen und Passwörter drinne. Sieht so aus, als hätte jemand vollzugang zum Server gehabt. Eine Zeile: "Username: Root - Passwort-MD5: 21232..." da lache ich nur, wer einen MD5-Hash mit 21232 beginnend in seiner Datenbank hat und dazu den User "root", der hat echt nicht alle Tassen im Schrank. Gut, das kann natürlich auch nur nen Joke sein, das File bei Rapid-Share könnte gefälscht sein, oder sonst was.


Die meisten Passwörter scheinen in einem propritären Forma gespeichert zu sein. Nur einige hundert PWs sind als MD5-Hash gespeichert. MD5-Hashes können bis 8 oder 9 Zeichen Problemlos zurück gerechnet werden. Die PWs im propritären Format sind natürlich nur so sicher wie das Format. Für Salz+SHA256 ist die Zeichenkette jedoch viel zu kurz.

Mein Rat an alle die  dumm (Sorry, aber ist so) genug waren das gleiche Passwort mehrfach zu verwenden: ÄNDERT EUER PASSWORT überall ab. Mindestens 12 Zeichen. 8-Zeichen MD5-Hash können (z.T. mit Glück) problemlos zurück gerechnet werden. Und da man nie weiß wie sicher die PWs gespeichert werden, niemals ein PW doppelt verwenden.

Edit: Bevor einer fragt: Datei  geschreddert, ich brauche sowas nicht.

man musste keine E-Mail Adresse bei mtgox angeben. Sind also ganz normale Accounts.