Hintergründe zum Bitcoin-Crash bei Mt. Gox (Update zum Hack)

Im Laufe des heutigen Abends brach bei Mt. Gox, dem größten virtuellen Börsenplatz für Bitcoins, der Kurs für einen Bitcoin aufgrund eines Hacks von gut 17 auf 0.01$ ein. Binnen Sekunden. Wenige Minuten später stand der Kurs wieder bei gut 14$. Ein Chart des Absturzes (inklusive der Visualisierung des Handelsvolumens) findet Ihr hier. Je größer der blaue Kreis, um so größer das Handelsvolumen.

Auf Youtube gibt es auch ein Video das zeigt, wie schnell der Kurs ins bodenlose sackte:

Ursache des Kurssturzes war, dass ein Account auf einen Schlag 500.000 Bitcoins verkauft hat. Das Handelsvolumen war so gewaltig, dass innerhalb weniger Sekunden sämtliche existierenden Kauforder erfüllt wurden. Zeitgleich wurden von diesem Account mit dem so erzielten Gewinn beim Kurs von 0.01$ wieder massiv Bitcoins zurück gekauft und anschließend versucht, die Bitcoins auf ein anderes Konto zu überweisen. Dies schlug allerdings dann fehl, da Mt. Gox maximal 1000$ pro Tag und Account an Transaktionen erlaubt (bzw. Bitcoins im entsprechenden Gegenwert). Der oder die Täter hat also maximal 1000$ mitgehen lassen. Die komplette Erklärung des Vorganges findet man bei Mt. Gox.

Dort spricht man davon, dass ein Account kompromittiert wurde, was sich zwischenzeitlich aber als absolute Fehleinschätzung herausgestellt hat. Die komplette Accountdatenbank von Mt. Gox ist nämlich inzwischen als CSV-Datei auf Rapidshare und anderen Filehostern aufgetaucht. Im Bitcoin-Forum war für kurze Zeit ein Beitrag zu finden, der auf die Downloads verlinkte. Und es handelt sich tatsächlich um die Account-Datenbank. Glücklicherweise war man dort etwas schlauer als bspw. Sony und speicherte die Passwörter nicht im Klartext in der DB, es sind salted MD5-Hashes. Dennoch ein gewaltiger Gau für Mt. Gox, zumal sich so etwas bereits ankündigte.

Spekuliert wird aktuell, woher die 500.000 Bitcoins kommen, ob sie echt waren oder nur in der Datenbank vorhanden. Mt. Gox will nun einen kompletten Rollback durchführen, wird aber sicher auf den 1000$ sowie auf einem enormen Imageverlust sitzen bleiben. Und natürlich hört man auch jetzt schon genügend Stimmen die davon sprechen, dass das wohl das Ende der Bitcoins sei. Nur muss man hier ganz klar sehen: Mt. Gox ist nichts weiter als ein Handelsplatz für Bitcoins, Mt. Gox ist nicht Bitcoin. Handelsplätze gibt es weitaus mehr (bspw. Bitcoin Market, Bitcoin7 oder TradeHill), so wie es überall auf der Welt Börsen gibt. Allerdings wird der Hack dennoch das Vertrauen in den Bitcoin für die nächste Zeit schwächen, auch weil die Berichterstattung in den nächsten Tagen sicherlich genau in diese Kerbe schlagen wird. Interessanterweise spricht aber niemand vom Ende des Dollars oder Euros, nachdem bei der Citibank 360.000 Kundenkonten gehackt wurden.

Bitcoins wurden erst in den letzten Wochen wirklich attraktiv und bekannt, nachdem alle Welt davon berichtete. Plötzlich wurden die Mining-Pools größer, plötzlich stieg das Handelsvolumen an den Handelsplätzen und natürlich auch der Wert der Bitcoins. Aus einer „Währung für Nerds“ wurde plötzlich etwas, was viele interessierte. Insofern müssen die Nerds, die Handelsplätze und dergleichen aus purem Spaß aus dem Boden gestampft haben, nun auch wesentlich professioneller werden und agieren. Das ist das, was wir aus dem heutigen Vorfall bei Mt.Gox lernen sollten.

Update: Inzwischen habe ich auch eine Mail von Mt.Gox erhalten, hier der Inhalt:

Dear Mt.Gox user,

Our database has been compromised, including your email. We are working on a quick resolution and to begin with, your password has been disabled as a security measure (and you will need to reset it to login again on Mt.Gox).

If you were using the same password on Mt.Gox and other places (email, etc), you should change this password as soon as possible.

For more details, please see this:

https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

The informations there will be updated as our investigation progresses.

Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.

The leaked data includes the following:

– Account number
– Account login
– Email address
– Encrypted password

While the password is encrypted, it is possible to bruteforce most passwords with time, and it is likely bad people are working on this right now.

Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.

Thanks,
The Mt.Gox team

Zumindest reagiert man relativ zeitnah und kehrt nichts unter den Teppich.

Update 2: Inzwischen tauchen offenbar die ersten Spuren des Angreifers auf. Im Forum von InsidePro (einer Password Recovery Software) stellte ein User „georgeclooney“ schon seit Anfang Mai dem 16.6. stapelweise MD5-Hashes ein und bat um Unterstützung beim knacken. Fast alle von mir stichprobenartig geprüften Hashes aus seinen Listen finden sich auch in der CSV-Datei, die veröffentlicht wurde. Und dabei musste ich feststellen, dass offenbar nicht alle Passwörter als salted Hash gespeichert wurden, sondern auch jede Menge Standard-MD5 Hashes enthalten sind. Mehrere Hashes wurden im InsidePro-Forum auch geknackt und die zugehörigen Passwörter wurden geposted. Es ist also ziemlich sicher, dass der Angreifer wesentlich mehr als nur ein Konto bei Mt. Gox kompromittieren konnte.

Update 3: Die Accountdaten von Mt. Gox wurden bereits am Samstag bei Pastebin zum Verkauf angeboten:

I have hacked into mtgox database. Got a huge number of logins password combos.Mtgox has fixed the problem now. Too late, cause I’ve already got the data.
Will sell the database for the right price.Send your offers to:gfc06@hotmail.com

Laut DailyTech wird der Angreifer in Hong Kong vermutet, zumindest verwies seine IP-Adresse dorthin. Auch scheinen diverse Bitcoin-Diebstähle (auch bei Mt. Gox) mit dem Vorfall in Zusammenhang zu stehen.

Update 4: Die oben bereits verlinkte Erklärung von Mt. Gox wurde inzwischen mehrfach aktualisiert und dort findet sich auch eine Erläuterung dafür, dass viele Passwörter nur als MD5-Hash gespeichert waren:

Two months ago we migrated from MD5 hashing to freeBSD MD5 salted hashing. The unsalted user accounts in the wild are ones that haven’t been accessed in over 2 months and are considered idle. Once we are back up we will have implemented SHA-512 multi-iteration salted hashing and all users will be required to update to a new strong password.

Darüber hinaus arbeite man mit Google zusammen, Googlemail-Accounts, die mit Mt.Gox-Konten verbunden waren, wurden zurückgesetzt und die Inhaber dieser Mailaccounts müssen ihr Konto neu verifizieren. Die ersten User berichten bereits von zurückgesetzten Passwörtern in ihren Googlemail-Konten.
Inzwischen wurden auch die ersten Mails an die Adressen aus dem Account-Dump versendet. Inhalt:

A few hours ago the Bitcoin trading website Mt Gox has been hacked. Malicious individuals have been able to obtain a database containing usernames, email address and encrypted passwords. This information has been posted publicly on the internet.

As a Bitcoin supporter I’m now sending a message to every email address contained in the hacked database. This is to warn you that your username, email address and password have been leaked. I therefore strongly advice you to change your passwords. If you have used the same password on different websites it’s highly recommended to change your password on all of your accounts!

For a more secure alternative to Mt Gox, the community appears to be moving to TradeHill. So this is no reason to lose faith in Bitcoin itself. It must be seen as a warning that not every website can be trusted with your data however! Their link is http://www.tradehill.com/?r=xxxxxx (Note: You can remove the Referral Code when registering if you want!) This is certainly not the only website where you can exchange Bitcoins, also check out http://www.thebitcoinlist.com/dp_bitcoin/bitcoin-exchange/

Es ist sicherlich nur eine Frage der Zeit, bis Mails mit Links zu irgendwelchen obskuren Tools oder speziellen Attachments bei diesen Adressen landen.
Korrektur: Diese Mails sind bereits im Umlauf:

Dear Mt.Gox user,

Our database has been compromised, how you already know.

To protect your account in the future, please download  the Certificate (self-extracting archive) from Attachment and install it.

If you were using the same password on Mt.Gox and other places (email, mybitcoin.com, etc), you should change this password as soon as possible.

Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.

Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.

Thanks,
The Mt.Gox team

Es ist hoffentlich überflüssig zu erwähnen, dass man dieses Attachment NICHT herunterladen oder gar installieren sollte…

Update 5: Mt.Gox hatte bereits eine kurze Information dazu verfasst, wie der Angreifer an die Accountdaten gelangt ist, ich hatte aber vergessen, das zu erwähnen. Hole ich hiermit nach:

It appears that someone who performs audits on our system and had read-only access to our database had their computer compromised. This allowed for someone to pull our database.

Man beruft sich also darauf, dass ein direkter Zugriff auf die Datenbank für den Angreifer nicht möglich war, sondern der Rechner einer Person, die einen Audit durchführte, mit Malware infiziert war. Und auf diesem Wege konnte der Angreifer auf die Datenbank zugreifen. Klingt schon nach ein paar komischen Zufällen wenn ich ehrlich sein soll, aber OK.  Warten wir mal ab,welche Informationen noch bekannt werden.

Tags: , , , ,

Nun doch Gingerbread aufs Desire?! (Update)

Heute Morgen schrieb ich noch davon, dass HTC dem Gingerbread-Update fürs Desire eine Absage erteilt hat, eben gerade kommt die Nachricht rein:

Wir haben gestern leider voreilig die Aussage unseres Entwicklerteams weiter gegeben – sorry. Denn: Gingerbread wird nun doch aufs HTC Desire kommen!

Komische Sache wieder mal. Erinnert mich an die Aussage: Bootloader wird verschlüsselt, nein, wird doch nicht verschlüsselt, weil sich alle beschweren. Es wirkt auf mich, als hätte man nicht mit Beschwerden in diesem Umfang gerechnet oder aber tatsächlich irgendeine halbgare Aussage viel zu früh ausgeplaudert.

Warten wir mal ab, was nun passiert.

Update: HTC gab inzwischen bekannt, dass das Gingerbread-Update für das Desire mit einem abgespeckten Sense ausgeliefert werden soll. Das Desire hat sicherlich nicht sonderlich viel Speicher, insofern halte ich das für eine gute Lösung. Viele nutzen ohnehin nur einen kleinen Teil der Apps, die HTC vorinstalliert, hier kann man definitiv einiges an Platz sparen. Wann das Update nun verfügbar sein wird ist allerdings noch offen.

Tags: , , ,

Doch kein Gingerbread für das HTC Desire

Erst sollte es Anfang Mai verfügbar sein, dann Ende Mai. Dann wurde die Veröffentlichung von Gingerbread für das HTC Desire auf Ende Juni verschoben und nun ist seit gestern offiziell: Es wird kein offizielles Update auf Gingerbread für das HTC Desire geben.

Unser Entwicklerteam hat die letzten Monate hart daran gearbeitet, Gingerbread auf das HTC Desire zu bringen. Leider müssen wir euch heute mitteilen, dass nicht genug Speicher zur Verfügung steht, um Gingerbread auf dem HTC Desire zum Laufen zu bringen und dabei das HTC Sense Erlebnis aufrecht zu halten. Es tut uns sehr leid für die Enttäuschung, die diese Nachricht sicher für manche von euch mit sich bringt.

Bitter und für viele Desire-Besitzer eine ziemliche Enttäuschung. Zumal Custom-ROMs mit Gingerbread schon seit einiger Zeit für das Desire existieren und auch ordentlich laufen. Somit werden diese für Desire-Besitzer wohl die einzige Möglichkeit bleiben, eine aktuellere Android-Version auf ihr Gerät zu bringen. Zumindest diese Möglichkeit besteht glücklicherweise.

Dass die Besitzer des ehemaligen Top-Modells nicht gerade begeistert sind zeigen die über 500 Kommentare zu der Facebook-Meldung. Und auch ich kann eine gewisse Enttäuschung nicht verleugnen. Stutzig macht mich an der Meldung lediglich die Tatsache, dass das Wildfire S mit schlechterer Speicherausstattung mit Gingerbread und Sense 2.1 verfügbar ist. Zum Vergleich noch einmal die Daten des Desire.

HTC reiht sich damit leider in die Reihen der Hersteller ein, für die Produktpflege ein Fremdwort ist, selbst bei Top-Geräten. Diese sind selbstverständlich irgendwann mal veraltet, keine Frage. Aber wenn ein Gerät in dieser Preiskategorie nach gut einem Jahr (seit April 2010 in D verfügbar) schon zum alten Eisen gehört, dann ist das bitter und es wird sicher nicht wenige Anwender geben, die sich nach dieser Meldung in Zukunft gegen HTC entscheiden.

Tags: , , , ,

Rivva ist wieder am Start

Im Februar war es plötzlich vorbei mit Rivva und die Trauer war groß.

Nun ist es wieder da, diesmal mit ordentlicher finanzieller Unterstützung und professioneller Vermarktung. Willkommen zurück!

Tags: , ,