Und weil das Thema gerade so schön ist:
Heute gegen 17 Uhr ist der BTC-Kurs auf MtGox.com schlagartig auf unter 10 Dollar gefallen. Im Anschluss ging es dann bis auf 0.01 Dollar runter. Im Bitcoin-Forum wurden erste Vermutungen geäußert, dass einer der Early-Adopter nun seine Bitcoins (Handelsvolumen zu diesem Zeitpunkt: 500k BTC) zu Geld macht.
Nun ist aber von Mt-Gox bestätigt worden, dass es einen Hack in die Datenbank gab: Huge bitcoin sell off due to comporimised account rollback
Anscheinend halten sich die Verluste in Grenzen und es gibt nun einen Rollback der Mt-Gox Accounts auf den Stand vor dem Zusammenbruch. Alle betroffenen Account-Inhaber (also wohl jeder…) hat eine E-Mail erhalten in der die Situation erklärt wird.
Die Liste mit Account-Daten hat nun auch ihren Weg ins Bitcoin-Forum gefunden, daher sollten sich schon mal alle Benutzer darauf einrichten, in nächster Zeit vermehrt Angebote zum Kauf von Viagra zu erhalten. In wie weit die Passwörter nun gefährdet sind hängt u.a. auch davon ab, ob Mt-Gox einen Salt genutzt hat oder die Passwörter nur gehashed sind.
Welche Auswirkungen dieser Hack nun aber auf das Vertrauen in Bitcoins hat, ist schwer vorherzusehen.
UPDATE 2011-06-20: Mittlerweile hat Mt-Gox Infos zum Hack online gestellt:
It appears that someone who performs audits on our system and had read-only access to our database had their computer compromised. This allowed for someone to pull our database. The site was not compromised with a SQL injection as many are reporting, so in effect the site was not hacked.
Two months ago we migrated from MD5 hashing to freeBSD MD5 salted hashing. The unsalted user accounts in the wild are ones that haven’t been accessed in over 2 months and are considered idle. Once we are back up we will have implemented SHA-512 multi-iteration salted hashing and all users will be required to update to a new strong password.
We have been working with Google to ensure any gmail accounts associated with Mt.Gox user accounts have been locked and need to be reverified.
Mt.Gox will continue to be offline as we continue our investigation, at this time we are pushing it to 8:00am GMT.
When Mt.Gox comes back online, we will be putting all users through a new security measure to authenticate the users. This will be a mix of matching the last IP address that accessed the account, verifying their email address, account name and old password. Users will then be prompted to enter in a new strong password.
Once Mt.Gox is back online, trades 218869~222470 will be reverted
Schön das immerhin ein Salt zum Einsatz kam, wobei ich mich an dieser Stelle immer frage, warum eine Webseite erst gehackt werden bevor Sie merken, dass MD5 nicht das ist, was man als sicher sieht. Zu Beginn wurde es der Aussage nach noch nicht mal gesalzen! Erst jetzt kommt das doch um einiges erstrebenswertere SHA Verfahren in mehreren Iterationen zum Einsatz.
Hätte es nicht bereits ähnlich peinliche Dinge bei Privatbanken gegeben, wäre ich in der Stelle versucht zu sagen, dass Mt-Gox halt aus der Not entstanden und dann ungesund schnell gewachsen ist…
Hat jmd ne Ahnung wie man sein Pw nun resetet? wenn ich meine email eingeben sagt er ich sei nicht Registriert
Nur die Ruhe, noch sind sie nicht wieder online…
[...] the hack last week (see post) MtGox is back online right [...]