Zum Inhalt springen

Email von ANGEBLICH "Fidor" über ANGEBLICHE Sicherheitsmängel bei bitcoin.de


rkr

Empfohlene Beiträge

Bitte schnelle Reaktion von Bitcoin.de Support erbeten, zu folgender Info:

Heute nachts um 2:34 erhielt ich (und wahrscheinlich andere Kunden), ANGEBLICH VON FIDOR, eine Email mit zitierter Information und Aufforderung, siehe unten:

den Namen und die Bitcoin Adressen habe ich im Text entfernt - sollte die Adressen wichtig sein kann ich diese per PM an ihren Support senden - ich dachte, öffentlich wäre das ggf. nicht sinnvoll bevor jemand tatsächlich etwas dorthin transferiert...

Ich kann mir nicht vorstellen, dass Ledger versendet würden aufgrund der Kosten.
Und vordefinierte Adressen zu denen die Zugangsdaten geschickt werden erstcheint mir noch seltsamer.

Hat die noch jemand bekommen?
 

Quote

    
Sehr geehrter (Ansprache mit korrekten Namen!),

leider müssen wir Ihnen mitteilen, dass bei unserem Partnerunternehmen (im folgenden Bitcoin Deutschland AG):

Bitcoin.de
Bitcoin Deutschland AG
Nordstraße 14
32051 Herford
Germany

gravierende Sicherheitsmängel festgestellt wurden.

Da wir, die Fidor Bank AG dem Kreditwesengesetz (KWG) unterliegen, sind wir dazu verpflichtet Ihnen diesen Umstand mitzuteilen.

Diesen Sicherheitsmangel hat unsere Sicherheitsabteilung bei den in den vergangenen Wochen sporadisch auftretenden API-Anbindungsfehlern, sowie dem temporären Ausfall der Währungswechselfunktion entdeckt.


Was bedeutet das für Sie?

Um die Einlagen unserer Kunden zu sichern, werden wir unseren Kunden umgehend ein sogenanntes "Coldstorage Wallet" postalisch zusenden.
Bei einem "Coldstorage Wallet" auch "Hardware Wallet" genannt, handelt es sich um einen physischen Speicherstick, welcher mit einem USB-Stick vergleichbar ist.
Dieser wurde eigens für die Aufbewahrung von Kryptowährungen entwickelt und besitzt im Gegensatz zu "Hot Wallets" keine direkte Anbindung an das Internet.

Cold Storage Wallets sind nur dem Inhaber zugänglich.

Ihnen wird innerhalb der nächsten 14 Tagen eine solche Cold Storage Wallet von der Firma Ledger SAS an die in Ihrem Konto hinterlegte Adresse zugesandt.

Bitte beachten Sie, dass Ihnen aus Sicherheitsgründen die Coldstorage Wallet inklusive Betriebsanleitung getrennt von den Zugangsdaten zugestellt wird.
Somit ist die maximale Sicherheit Ihrer Kryptowährungsbestände gesichert.

Die Zugangsdaten erhalten Sie per separater Post von uns.


Was muss ich nun unternehmen?

Aufgrund des Haftungsdaches gemäß § 2 Abs. 10 Satz 6 KWG unterliegt die Haftung bei Verlust ausschließlich bei der Fidor Bank AG.

Zusätzlich sind wir nach dem Einlagensicherungsgesetz (EinSiG) gesetzlich dazu verpflichtet Ihre Einlagen sicher zu verwalten und zu verwahren.

Aufgrund der aktuellen sicherheitsbezogenen Vorkommnisse transferieren Sie bitte Ihre Kryptowährungseinlagen der Bitcoin Deutschland AG auf die persönlich für Sie von uns eingerichteten, gesicherten Konten.

Bitte beachten Sie, dass diese persönlichen Kryptowährungseinlagekonten ausschließlich Ihnen zugeordnet sind um eine lückenlose Rückverfolgbarkeit zu gewährleisten.


Ihre persönlichen Einlagekonten der Fidor Bank AG lauten:

Bitcoin (BTC): konkrete Coin Adresse
Bitcoin Cash (BCH): konkrete Coin Adresse
Ethereum (ETH): konkrete Coin Adresse
Bitcoin Gold (BTG): konkrete Coin Adresse
Bitcoin Cash SV (BSV): konkrete Coin Adresse


Nach Erhalt Ihrer Coldstorage Wallet und der Zugangsdaten, aktivieren Sie diese bitte umgehend. Ihre Kryptowährungseinlagen werden nach der Aktivierung vollautomatisch gutgeschrieben.

Die Gutschrift Ihrer Kryptowährungseinlagen erfolgt nach dem aktuellen Kurs der Bitcoin Deutschland AG.


Für die enstandenen Unannehmlichkeiten möchten wir uns ausdrücklich entschuldigen und versichern Ihnen das wir mit Hochdruck an einer Lösung arbeiten.

 

Mit besten Grüßen

Ihr Fidor Bank Team

 

shared_spacer.png
 
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Stunde schrieb rkr:

Ich kann mir nicht vorstellen, dass Ledger versendet würden aufgrund der Kosten.

... ansonsten hätten sie zum Abgleich auch gleich noch die hinterlegte Postanschrift angegeben 😉

Die Frage, die ich mir nun jedoch stelle: Woher hat der Angreifer diese Informationen:

- Name des Kontoinhabers
- eMail-Adresse
- Kenntnis von dem bitcoin.de-Account

Klar, wenn ich mit anderen Marktteilnehmern trade, dann erhalte ich deren Namen, ich weiß, dass sie Fidorkunde sind und ich weiß, dass sie einen bitcoin.de-Account haben.

Aber ich kenne keine Möglichkeit an die eMail-Adresse zu einem Fidorkonto zu gelangen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 8 Stunden schrieb Jokin:

... ansonsten hätten sie zum Abgleich auch gleich noch die hinterlegte Postanschrift angegeben 😉

Die Frage, die ich mir nun jedoch stelle: Woher hat der Angreifer diese Informationen:

- Name des Kontoinhabers
- eMail-Adresse
- Kenntnis von dem bitcoin.de-Account

Klar, wenn ich mit anderen Marktteilnehmern trade, dann erhalte ich deren Namen, ich weiß, dass sie Fidorkunde sind und ich weiß, dass sie einen bitcoin.de-Account haben.

Aber ich kenne keine Möglichkeit an die eMail-Adresse zu einem Fidorkonto zu gelangen.

Am 2.8.2017 war im Zeitrahmen 17.15 Uhr - 18.45 Uhr ein Extrem-Datenleck bei der Fidor Bank. Zu diesem Zeitpunkt eingeloggte Kunden konnten Daten beliebig vieler, gerade ebenfalls eingeloggter, Kunden sehen.

Zu Fidor Bank und pishing gibt es jeden Monat etwas neues:

https://www.onlinewarnungen.de/warnungsticker/fidor-bank-vorsicht-phishing-bei-e-mail-systemnachricht-bestaetigen-sie-ihren-fidor-konto/

  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb Orca:

Zu diesem Zeitpunkt eingeloggte Kunden konnten Daten beliebig vieler, gerade ebenfalls eingeloggter, Kunden sehen.

Ich war live dabei - ich habe nicht so eine Mail bekommen.

Ich hatte mich damals auch nicht in den Profilen der anderen bewegen können, also auch keine eMail-Adresse erhalten können.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gibt's hierzu irgendeine Reaktion seitens bitcoin.de!?

Ist ja nun schon ein paar Tage her.

Man könnte ja vielleicht auf die Startseite einen Hinweis anbringen, dass diese Mails Pishingversuche sind und keinerlei Relevanz haben.

Oder man tut weiter so als hätte man damit nichts zu tun und lässt seine Kunden uninformiert.

BG

G.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 15 Minuten schrieb red_g:

Man könnte ja vielleicht auf die Startseite einen Hinweis anbringen, dass diese Mails Pishingversuche sind und keinerlei Relevanz haben.

Ist bereits kurz nach der Bekanntwerdung geschehen. (Loginseite und Auszahlungsseiten)

Bearbeitet von Jokin
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.