Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Bezuhant a BitCoin - 60.000 hozzáférést kompromittáltak

2011.06.20. 00:39 | buherator | 6 komment

Több mint 60.000 BitCoin felhasználó adatai, köztük MD5-tel hashelt jelszavuk került nyilvánosságra az Mt. Gox nevű kereskedőcéget ért támadás következtében. Az egyik jelentős mennyiségű virtuális valutával rendelkező felhasználó fiókjából a támadók megpróbáltak nagyobb össeget értékesíteni, de a napi limit miatt csak 1000$-nak megfelelő BitCoint sikerült eladni, ez persze nem vigasztalja a zuhanásnak indult árfolyamon vesztőket. Az Mt. Gox ígérete szerint vissza fogja vonni az incidens óta lezajlott tranzakciókat, ami az árfolyam normalizálódásához fog vezetni, bár ennek a lépésnek sem mindenki örül. 

Az incidens jól mutatja, hogy a BitCoin tényleg kezd valódi tényezővé válni az interneten.

(Köszönet Jaklevnek és Tyr43lnek az infókért!)

Címkék: incidens bitcoin mt.gox

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2011.06.20. 08:59:25

Hivatalos infó:
It appears that someone who performs audits on our system and had read-only access to our database had their computer compromised. This allowed for someone to pull our database. The site was not compromised with a SQL injection as many are reporting, so in effect the site was not hacked.

Two months ago we migrated from MD5 hashing to freeBSD MD5 salted hashing. The unsalted user accounts in the wild are ones that haven't been accessed in over 2 months and are considered idle. Once we are back up we will have implemented SHA-512 multi-iteration salted hashing and all users will be required to update to a new strong password.

We have been working with Google to ensure any gmail accounts associated with Mt.Gox user accounts have been locked and need to be reverified.

Engem reggel a gmail már nem engedett be a "2faktoros helyett statikus alkalmazás jelszóval", kétfaktoros authentikációval igen, majd kért egy jelszóresetet.

Szívás ...

bitcoin · http://bitcoin.blog.hu 2011.06.22. 01:38:17

Nem ez az első támadás, sőt szinte mindennapos. A nagyobb poolokat állandóan DoS-olják, van olyan hely, ahol csak megadott IP-kről engedik be a népeket. Érdekes, hogy magát az alaprendszert még nem tudták megfektetni, de a rá épülő 3rd party szolgáltatásoknak szinte mindegyikét.

A kockázatokról, kilátásokról írtam néhány postot (bitcoin.blog.hu), szerintem ígéretes, de eléggé rizikós befektetés. Szerencsére akkora pénzmennyiség halmozódott már fel benne (6.5 millió BTC, ami még 10 dolláros árfolyamon is 65 millió USD, azaz 12 milliárd HUF), hogy a BTC-tulajdonosok érdeke a stabilitás megőrzése, nomeg a további felfuttatás.

synapse · http://www.synsecblog.com 2011.06.22. 11:49:30

Es most legalabb a szemfulesek a minereken fogjak futtatni az md5 torot...

|Z| 2011.06.25. 10:32:48

Már meg lehet nézni a saját számlát itt:
claim.mtgox.com/status.html

Valaki nekiállt már tesztelni a kiszivárgott jelszavakat?

bitcoin · http://bitcoin.blog.hu 2011.06.26. 02:26:13

@|Z|:

Kicsit sokáig tartott nekik... Valamivel egyszerűbb lett volna kiküldeni a reg. emailre egy új jelszót, dehát japánok :-).

|Z| 2011.06.26. 09:37:54

@bitcoin: Azért nem küldték ki az email címre, mert attól féltek (teljesen jogosan), hogy sokan ugyanazt a jelszót használják az e-mailnél is, ezért kellett csomó proofot megadni a számláról (honnan szoktál utalni, mennyi USD/bitcoin van a számládon, milyen IP-ről szoktál jönni, stb.).

IMHO kevés nagy cég kezelte volna ilyen profin ezt az esetet mint az mtgox...