Pages:
Author

Topic: User-Datenbank von Mt Gox veröffentlicht, ändert eure Passwörter! - page 2. (Read 4231 times)

sr. member
Activity: 252
Merit: 250
1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
Na, wie ist wohl der MD5-Hash für "admin"? Richtig 21232....................... das sollte doch wohl jeder auswendig wissen...

Nein weiß ich zugegebenermaßen nicht auswendig Wink
Solltest aber beachten, dass das Eintrag Nr. 1720 in der DB war (zumindest wenn die IDs stimmen), und somit vermutlich weniger der Admin Account Wink
newbie
Activity: 13
Merit: 0
Seh ich auch so, leepfrog.

Ich schätz auch, das MtG nicht viel Ahnung hatte.


Ablauf aus deren Sicht:

1. Jemand startet eine hohe Abhebung welche das tägliche Limit überschreitet (1000$ oder warens 2000$ ? )
2. Die werden alarmiert, evtl der User angeschrieben, stoppen das ganze
3. Versuchen alles wieder gerade zu biegen.

Angreifersicht:
1. Greift am 16. oder 17.06. die Seite an, holt die Frontenddaten und knackt diverse Accounts (Lässt Hashes "knacken")
 - Das könnte die häufigen "Mein Account wurde gehacked, habe aber ein sicheres System!"  Meldungen erklären.
 - MTGox erkennt das noch nicht, tut es als Fehler der User ab
2. Er trifft auf einen großen und holt sich da das ganze Geld. Das Limit wird erreicht, Account wird überprüft. Alternativ kann er auch gleich mehrere "größere" verwenden und gleichzeitig überweisen.
3. Er sieht das nicht sehr viel geht, versucht rauszuholen was er kann, doch MtG sperrt das System, die Seite usw.  Er veröffentlicht aus Protest die Useraccounts. Oder um MTG zu schaden.

Die Verluste wird MTGox (wenn überhaupt) durch ihre eigenen Reserven ausgleichen müssen.

Beim Backend hätte er es vermutlich erheblich leichter gehabt. Dort kann er selbst Anweisungen durchführen, bzw. "gelagerte" Bitcoins auslesen und all das. Ich glaub nicht das er bis dahin gekommen ist.

Gut das veröffentlichen der Bitcoin Adressen würde ihm auch nichts bringen, da der Markt dann sofort reagiert und er vermutlich nichts mehr ausgezahlt bekommt.
member
Activity: 112
Merit: 10
1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
Na, wie ist wohl der MD5-Hash für "admin"? Richtig 21232....................... das sollte doch wohl jeder auswendig wissen...

_Jeder_ _auswendig_? ... Du hast Ideen... Cheesy Ich hoffe du meinst das nicht ernst!
newbie
Activity: 1
Merit: 0
der kerl über mir hat offenbar nicht soviel ahnung wie er tut, sonst wüsste er dass voll egal ist wie der hash los geht.
md5 für admin123 ist z.b. 0192023a7bbd73250516f069df18b500
also was soll das sagen?

newbie
Activity: 14
Merit: 0
1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
Na, wie ist wohl der MD5-Hash für "admin"? Richtig 21232....................... das sollte doch wohl jeder auswendig wissen...
sr. member
Activity: 252
Merit: 250
Klingt nach einem Plan Wink

Ich denke das ganze wird sich mit SICHERHEIT negativ auf die Beliebtheit von MtGox auswirken. Das ganze führt dann zu einer exponentiellen Anzahl neuer User bei den Alternativmärkten. Selbst falls diese gestemmt werden können ist es fraglich, in wiefern diese Sicher vor solchen Problemen sind (MtGox war halt jetzt ein attraktives Ziel, das bedeutet nicht, dass die Alternativen besser abgesichert sind).

Weiterhin wird das Ganze imo zumindest vorübergehend den BTC Kurs erheblich drücken..
member
Activity: 112
Merit: 10
Aber das soll hier auch kein Thema sein, daher würde ich vorschlagen wir lassen trotz jedem Informatiker-sein die Trollerei ruhen und schauen dass wir noch einigermaßen gut aus der Situation herauskommen.

+1

Guter Plan!
Btw. hier gibt es auch mindestens einen nicht-Informatiker.
member
Activity: 84
Merit: 10
Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.

Ok.

5bed6438bf8114083e513f5660443ba0

Nur soviel sei gesagt, es ist 7-stellig und entspricht deinen Kriterien. Bin selber mal gespannt, also wenn das jemand ausrechnen möchte, bitte.

Aber genau aus diesem Grund habe ich auch von einem hinreichend sicheren Passwort gesprochen.
newbie
Activity: 28
Merit: 0
Bezüglich der Rainbow Tables.. ja ne ist klar. Das will ich sehen wie du ~200GB Rainbow Tables in 2 Sekunden durchsuchst.

Das ist kein Problem. Ich habe genügend Datenbanken >500G verwaltet, wenn die Datenbankserver gut optimiert und die Datenstruktur eine Saubere sind stellt das absolut kein Problem dar.
Aber das soll hier auch kein Thema sein, daher würde ich vorschlagen wir lassen trotz jedem Informatiker-sein die Trollerei ruhen und schauen dass wir noch einigermaßen gut aus der Situation herauskommen.
sr. member
Activity: 252
Merit: 250
Au weia... lasst doch mal gefährliches Halbwissen da raus.

@Dennis:
1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
2. In der Datei war kein Root Eintrag. Macht ja auch keinen sinn - es geht immerhin um die User des Dienstes und nicht um den Server- oder MySql-Root User
3. Nix proprietär. Es ist stink normales gesalzenes MD5

@Dev:
1. Bezüglich der Rainbow Tables.. ja ne ist klar. Das will ich sehen wie du ~200GB Rainbow Tables in 2 Sekunden durchsuchst.
2. Wenn du ein ausreichend sicheres Passwort hast, kommst du auch mit Rainbow Tables nicht weiter

@Nyx:
Es ist völlig egal ob die gesalzen sind oder nicht. Einfaches Passwort = schnell ge-brute-forced
sr. member
Activity: 259
Merit: 250
Na ja, wenn man ehrlich ist, entbehrt es nicht einer gewissen Ironie, die einen minen für BTCs, die anderen, um PW zu cracken. ;-)
member
Activity: 98
Merit: 10
Nur einige hundert PWs sind als MD5-Hash gespeichert.
~1700
Die PWs im propritären Format
nix propritär. md5(unix)

In der Datei sind zahlreiche Accounts ohne Email-Adresse.
Liegt daran das man während der Registrierung bei mtgox keine Email-Adresse angeben muss... aber kann Smiley

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.
^^^^^^Genau das! Es dauert eine halbe Ewigkeit die md5(unix) hashes zu knacken, selbst per Wörterbuchattacke. Anders sieht's mit den 1700 normalen md5 hashes aus, da ist es schon kritisch wenn man ein zu kurzes Passwort benutzt hat.

Passwort ändern sobald mtgox wieder online ist.
Nyx
sr. member
Activity: 274
Merit: 250
Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.

die paar 100 Passwörter von mtgox die nur md5-gehast waren, sind bereits gecrackt: https://uloadr.com/u/CF.txt
newbie
Activity: 13
Merit: 0
Der leak liegt schon 2 Tage zurück, habe manche Passwörter in älteren Listen gefunden...  
newbie
Activity: 28
Merit: 0
In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, (...)

Das Feld war optional - ich bspw. habe es ebenso wenig ausgefüllt.
Was ich mich nun nur frage... wenn wie auf Mt. Gox genannt alle Kennwörter zurückgesetzt werden... wie können sich Benutzer ohne E-Mail-Adresse dann wieder einloggen?  Undecided

Ich habe zwar regelmäßig das Konto dort ausgeglichen, aber über das Wochenende hin liegen doch ein einstelliger BTC- und hoher zweistelliger $-Betrag bei denen...

(Fuck.)

@Dennis1234

Für MD5 gibt es Rainbow-Tables... 2 Sekunden.
Nyx
sr. member
Activity: 274
Merit: 250
Hab vor lauter Paranoia sogar meine Win Partition Bitcoinfrei gemacht und überlege ob ich sie ganz platt mach.

Verschiedene Passwörter hab ich überall schon. Wird nen Riesiger Imageschaden für Mt Gox werden bin mal gespannt wie es weitergeht.


mtgox ist tot! vergesst es...
Gründe muss ich wohl keine Aufzählen:
- Leak
- Backup der Order
- Backup des Preises
und dass obwohl nicht mehr alle Bitcoins vom Morgen da sind, sondern schon verschoben wurden. Shocked
newbie
Activity: 14
Merit: 0
Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.
legendary
Activity: 2271
Merit: 1363
Hab vor lauter Paranoia sogar meine Win Partition Bitcoinfrei gemacht und überlege ob ich sie ganz platt mach.

Verschiedene Passwörter hab ich überall schon. Wird nen Riesiger Imageschaden für Mt Gox werden bin mal gespannt wie es weitergeht.
newbie
Activity: 14
Merit: 0
Ich habe gerade die Datei von Rapid-Share gezogen, da sind 61.000 Usernamen und Passwörter drinne. Sieht so aus, als hätte jemand vollzugang zum Server gehabt. Eine Zeile: "Username: Root - Passwort-MD5: 21232..." da lache ich nur, wer einen MD5-Hash mit 21232 beginnend in seiner Datenbank hat und dazu den User "root", der hat echt nicht alle Tassen im Schrank. Gut, das kann natürlich auch nur nen Joke sein, das File bei Rapid-Share könnte gefälscht sein, oder sonst was.


Die meisten Passwörter scheinen in einem propritären Forma gespeichert zu sein. Nur einige hundert PWs sind als MD5-Hash gespeichert. MD5-Hashes können bis 8 oder 9 Zeichen Problemlos zurück gerechnet werden. Die PWs im propritären Format sind natürlich nur so sicher wie das Format. Für Salz+SHA256 ist die Zeichenkette jedoch viel zu kurz.

Mein Rat an alle die  dumm (Sorry, aber ist so) genug waren das gleiche Passwort mehrfach zu verwenden: ÄNDERT EUER PASSWORT überall ab. Mindestens 12 Zeichen. 8-Zeichen MD5-Hash können (z.T. mit Glück) problemlos zurück gerechnet werden. Und da man nie weiß wie sicher die PWs gespeichert werden, niemals ein PW doppelt verwenden.

Edit: Bevor einer fragt: Datei  geschreddert, ich brauche sowas nicht.
Nyx
sr. member
Activity: 274
Merit: 250
Ich schätze und hoffe, MTGox teilt jedem User per Mail ein neues Passwort in 1-2 Tagen zu. 

In der Datei sind zahlreiche Accounts ohne Email-Adresse. Was das bedeutet, ist mir nicht ganz klar, eventuell sind das Test-Accounts, dafür sind es aber eigentlich zu viele und zu "ungewöhnliche" Namen.

Sollte es also Accounts ohne Email-Adresse geben, wird das nicht so einfach  Wink

man musste keine E-Mail Adresse bei mtgox angeben. Sind also ganz normale Accounts.
Pages:
Jump to: