Topic: Warnung! GMX + Bitcointalk (Read 2193 times)

Ok...vieleicht war das bezug nehmen auf einen einzelnen Aspekt nicht gut um meine Aussage darzulegen. Allgemein gesagt wird immer ein Design verwendet, das es automatisiert ermöglicht Passwörter zu recovern. Leider haben alle Automatismen den Nachteil extrem unflexibel zu sein und in der Überprüfung der plausibilität versagen sie komplett.

zb kann man Passwort-recovery machen wärend man eingelooged ist. Oder es wird ein neues Passwort generiert und auf die Bestätigung gewartet, dabei aber zugelassen das man mit dem alten Passwort weiterhin arbeiten kann. bzw man bricht den Recovervorgang nicht ab wenn man sich mit dem alten Passwort einlooged oder per POP abfragt.

Das alles dient dem Zweck, service rein automatisch abzuwickeln, da Personal Geld kostet. Und ich habe bisher noch nie einen solchen Automatismus gesehen, der einerseits mit der "Blödheit" der Kunden umgehen kann aber andererseits keine Lücken für Hacker offen lässt. Solche Designs sind immer unsicher.

Hier sollten Mailanbieter vieleicht mal drüber nachdenken und sich ein sicheres Verfahren ausdenken. zB eine Recovery-Gebühr. Hier ist das Ende der Wirtschaftlichkeit für Hacker. Und im Gegenzug prüft ein Mensch den Vorgang und erkennt Ungereimtheiten. Jeder der Onlinegames zockt, weis wie mies selbst heute noch die KI von Computergegnern ist. Und das obwohl gerade die Spieleindustrie hier massiv Geld investiert, dies zu optimieren. Aber wenn man ein Deathmatch macht wird einem erst bewusst wieviel schwerer ein menschlicher Gegner ist. Und das gilt für jedes Game das ich bisher gespielt habe, sei es Strategie, Shooter oder MMO. Auch 2-faktor ist nicht davor gefeit geknackt zu werden. Probleme macht es immer nur dann wenn das recovern massiv erschwert wird. Aber solche Dienste werden in sämtlichen Foren dann als untauglich und viel zu kompliziert verdammt und gehen unter. Die Komfortablen setzen sich durch.

Und ob dein Hack auf den selben Fehlern basiert wie der Hack bei anderen wird ausschliesslich aus der zeitlichen Nähe abgeleitet. Ein sehr mageres Indiz. Als ein wessentlich stärkers Indiz würde ich werten, das alle gehackten sehr stark mit Bitcoin unterwegs sind. Viele verschiedene Dienste nutzen. Überall mal vorbei schauen. Irgendwo an diesen Schnittpunkten dürfte es zum Problem gekommen sein. Driveby Infekt....einfach nur ein Link zu einer Seite den diese aktiven Bitcoiner anklicken. Und als Aktive kann man davon ausgehen, das sie nicht nur paar Satoshis rumliegen haben sondern größere Mengen Bitcoin.

Nur mal als Beispiel zum Verständniss: Ein Journalist wurde gehackt und all seine Fotos, Daten und Backups gingen zum Teufel. Viele sehr persönliche Dinge für immer verloren(Geburt des ersten Kindes, sein aufwachsen usw). Schuld? Nun...keiner. Apple hat eigentlich recht gut abgesichert und recovery geht nur per Anruf und persönlichem Freischalten. Dazu wird eine Kreditkartennummer abgefragt. Und zwar die letzen 4 Stellen. Diese konnte man bei Amazon erfahren, wenn man etwas getrickst hat und wusste das der Typ auch bei Amazon unterwegs ist. die letzen 4 Stellen sind schliesslich nicht wirklich von Bedeutung für einen Hacker...dachte man. So führen die eigentlich sicheren Dinge zweier Anbieter zusammen zu einer Lücke.

Irgendwo ist das nun auch GMX passiert. Und gerade bei second-mail als recovery kommt es oft zu Problemen. Nach jahren ist diese Mail aufgrund der Nichtbenutzung verfallen. Sinn ist ja auch, diese Mailadresse nicht public zu machen, also kommt dort wenig an. Das mag vieleicht für einzelne nicht zutreffen, die eigenen Mailserver haben. Aber die Masse hat keinen eigenen Mailserver. Dann wird da T-Online Mailadresse angegeben und nach jahren wechselt man zu O2. Und dann ist ende mit Recovery bei GMX. Hier lässt GMX dann viele Spielraum. Leider sind dann auch die Betroffen, die eine weiterhin gültige Recoverymailadresse haben.

Die hinterlegten Fragen und Antworten liegen im Klartext vor, der Zugriff ist allerdings geloggt.
Ob GMX-Admins ihre eigenen CC-Agenten verpetzen, sei mal dahingestellt.

Also Brute Force gegen ein Callcenter ist ja nicht so leicht möglich, fällt dann doch auf, wenn du da ein paar hunderttausendmal anrufst und unterschiedliche Passwörter durchprobierst

Ich gehe aber nicht davon aus, dass da nur ein Hash gespeichert wird, der Name deiner Katze wird im Klartext vorliegen. Sonst wird das zu häufig zu false negatives führen, wenn die Schreibweise nicht ganz klar ist o.ä.
Für den Einsatzzweck Account Recovery per Telefon ist das alles auch noch irgendwo akzeptabel. Besonders sicher ist es natürlich nicht.

Das dürfte passen. Wenn diese Adressen gehackt sind, ist der Account hier eh egal. Es gibt kein "Sicher", es existiert nur ein "Sicher genug".

Gibt etwa 190000 deutsche Wörter (Stammwörter) das wären also 190000x190000 Kombinationen. "Sicher genug" im Prinzip, wenn ein Angreifer nicht 1000 Kombinationen pro Sekunde austesten kann. Brute Force Attacke hängt von der Parallelisierbarkeit ab und von der Geschwindigkeit im einzelnen.

Wurd vom Call Center Agent mal nach dem Namen meiner Katze gefragt. "Ach du Scheiße wer denkt sich denn sowas billiges aus!" Aber wenigstens redet die nicht, und steht auch nicht auf dem Halsband. Ich hoffe mal schwer das nur die Hashsumme der Sicherheitsabfrage gespeichert wird, salted + rückwärts geschrieben. Denn diese Webseite wurde schon mehrmals gehackt. Ein Angriff auf den Datenbestand stelle ich mir da recht einfach vor, irgendwo im stillen Kämmerlein ausgeführt.

Ein Geheimnis ist nur sicher, wenn es niemanden gibt der das Rausflötet ("Singen" http://de.wikipedia.org/wiki/Gaunersprache) Das eigentliche Problem ist: Welchen Mailanbieter nimmt man? https://prism-break.org/en/all/ und da sieht es im Moment echt böse aus.

Bitmessage eine Lösung?

Single Point of Failure. Wir bieten 3 ... 4 ... 5 Recoverymöglichkeiten den Hackern an, und eine wird durchbrechen. Es wäre besser, wenn man zur Recovery 2 von 3 Methoden lösen muss, dann steht ein Angreifer mit 1 Lösung dumm da. 2FA

Alles klar, habe meine BTC-Adresse an DefaultTrust geschickt, jetzt müsste ich auf der sicheren Seite sein.

Danke!

Web.de würde ich auch nicht mehr vertrauen (gleiche Codebasis)!

 

So einfach ist es leider nicht. Ich hatte keine Sicherheitfrage gesetzt sondern nur recovery per Mail. Diese wurde definitiv nie ausgelöst (Keine Mail erhalten und mein anderes Konto wurde auch nicht gehackt).

Haben wir hier schon detaillierter diskutiert:

https://bitcointalksearch.org/topic/gmx-accounts-konnen-gehackt-werden-917903

Ich weis nicht, wo genau das Sicherheitsleck bei GMX nun ist. Meine Vermutung geht aber Richtung Sicherheitsabfrage. Zwar bietet GMX auch an via Handy-SMS ein Passwortrecovery zu machen, man muss das aber nicht nutzen. Dann jedoch kommt man um Sicherheitsfrage nicht herum und das war schon immer eine scheiss Lösung. Wer da nun gehackt wurde, wird das bei einem anderen Mailanbieter ebenfalls nicht verhindern können, da er aus den selben Gründen die selbe Sicherheitsstufe wählt.

Ich habe auch nicht genug Vertrauen GMX meine Handynummer zu geben. Folglich habe ich auch nur die Sicherheitsabfrage fürs Recovery. Und die nötigen Infos erlangt man normalerweise im Smalltalk mit dem Opfer. Zumindest wenn diese eine Sicherheitsabfrage "wahrheitsgemäss anlegen. Wer auf Lieblingsfarbe eine Farbe einträgt muss sich nicht wundern. Schon eine nichtssagende Floskel für Sicherheitsabfragen egal wie die Frage lautet hilft die Sicherheit zu verzehnfachen. Wie wäre es mit dönerpizza. oder pumpernickel. Ein Wort das man selbst sich merken kann aber keinen Zusammenhang zur Frage hat und damit für aussenstehende im Smalltalk nicht erfahrbar ist.

Allerdings sich bewusst machen, das dieses recovery trotzdem fehleranfällig bleibt. Benutzt man das Wort mehrfach zb in einem Webshop wo man was kauft und eine Recoveryfunktion auf dieser Basis hat, kann der Webshopbetreiber oder ein Hacker der diesen Shop hackt das Wort herausfinden, könnte er versuchen es an anderer Stelle nochmals zu nutzen. Ich überlege mir grundsätzlich ob ich für einen Acc ein recovery benötige oder nicht. Shops grundsätzlich kein Recovery, wenn ich das vergesse lege ich schnell was neues an, das bringt mir kaum Nachteile. Im Zweifelsfall versuche ich dann per Mail die 2 Kundenstammdaten zusammenführen zu lassen.

Sich nun von GMX abwenden und einen anderen Mailprovider benutzen löst das Problem meistens nicht, da es am Design und nicht am Betreiber liegt. Ich persönlich halte GMX sogar für einer der sicheren Designs. Aber ja, man könnte es besser machen.

Hätte ich vermutlich auch, aber BadBear hat mich vor kurzem auf seine TrustListe gesetzt, da bin ich lieber sofort eine Stufe höher gegangen. Es gibt jetzt nur noch zwei Rechner von denen ich mich mit diesem Account überhaupt einlogge und beide sind mein Eigentum. Passwort länger, Passwort der Mail länger, für öffentlich/Uni/Arbeit-rechner nehm ich jetzt nen Alt[1] und die Sicherheitsfrage wurde entsprechend gepimpt.


[1] Ja die 360 Sekunden nerven derbe, gerade wenn man das nicht mehr gewohnt ist

Mich hat der gmx hack ja auch leider getroffen. Wer jetzt noch gmx benutzt sollte sofort umstellen.
Ich habe den Thread zwar gesehen und mir gedacht, dass ich umstellen sollte, aber wie es halt so ist habe ich es aufgeschoben...

hier ist der Thread: https://bitcointalksearch.org/topic/gmx-accounts-konnen-gehackt-werden-917903

Richtig die ist schnell geändert und soweit ich weiß gib es keine Historie. Dieser Thread[1] bietet sich auch an, so wie es zur Zeit läuft würde ich aber eher auf PM + Thread setzen. Mutter, Porzellankiste und so.


[1] https://bitcointalksearch.org/topic/sicheres-adressverzeichnis-920631

Super Info, Danke. Werde ich genauso machen.

Ich dachte, die BTC-Adresse im Profil reicht??? Aber scheinbar könnte ein Hacker diese auch ändern!

In letzter Zeit häufen sie die Hacks von GMX Accounts, z.B der von Akka[1] aber auch Satoshis alter Account war davon betroffen. Falls ihr also einen Mail-Account von GMX genutzt habt um euch hier im Forum zu registrieren: ändert das!
Falls euch das zu umständlich ist und ihr keinen neuen Mail-Account erstellen wollt/könnt/dürft etc., trefft wenigstens die nötigen Vorkehrungen ihn wiederherstellen zu lassen unabhängig von der Mail Adresse. Dafür am besten eine Eurer Bitcoin Adressen in einem Post einbauen der nicht gelöscht und nicht editiert werden kann. Falls das nicht auf dem normalen Wege gehen sollte, weil ihr z.B. nicht an Auktionen teilnehmt o.ä. könnt ihr auch eine Nachricht (PM) an DefaultTrust[2] oder einem Vertrauten schicken. Die PM darf hinterher nicht gelöscht werden! Wichtig! BTC Adressen in Signaturen oder anderen Bereichen können von theymos nicht geprüft werden und sind kein Nachweis!

Hier die Nachricht von themyos dazu:


Falls es dann jemals soweit kommen sollte, schickt ihr theymos eine PM (von einem neuen Account) mit einer signierten(!) Nachricht. Diese Nachricht muss den Namen des Accounts enthalten, die neue Mail Adresse die hinterlegt werden soll (darf nicht zu einem anderen, z.B. eurem neuen Account gehören!), das aktuelle Datum und einen Link zu einem Post oder die PM ID in der die BTC Adresse zu finden ist mit der ihr signiert. Beispiel:


Falls es dazu Fragen gibt, fragen! Insbesondere wie man eine Nachricht signiert und verifiziert sollte mal ausprobiert werden (mit der Lieblingswallet).




[1] https://bitcointalksearch.org/topic/akka-default-trust-account-no-longer-hacked-917636
[2] https://bitcointalksearch.org/user/defaulttrust-122551