Sicherheitslücke

[schopenhauer]

"Der ärgerliche, aber überschaubare Schaden geht auf unsere Kappe, da entgegen unserer Meldung von heute Morgen doch nicht völlig auszuschließen ist, dass eine uns von einem User gemeldete und bereits geschlossene Sicherheitslücke mitverantwortlich für das Problem war."

 

Dieser Satz weckt meine Neugier - es gibt hier Sicherheitslücken die erst von Usern gemeldet werden müssen bevor sie auffallen?

[fatman]

Besser sie werden gemeldet, als dass dies nicht der Fall ist. Siehst doch, was sonst dabei rumkommt.

[Dr. Fu Man Chu]

Vielleicht wurde auch was selbst entdeckt was geprüft wird, kann man nur mutmaßen nach dieser News. Es bedeutet zumindest es wird oder wurde dran gearbeitet und drüber berichtet, weiter so!

[ac_]

Wie soll eine Sicherheitslücke auffallen die beim Benutzer liegt? Es ist auch eine Sicherheitslücke sein Passwort auf die Stirn zu schreiben. Sicherheit ist immer relativ. Wer glaubt es gäbe die totale Sicherheit der irrt sich gewaltig.

 

Die größte Unsicherheit sitzt zwischen Stuhllehne und Tastatur.

[Toni]

 

... haben sich Gauner unberechtigten Zugriff zu einigen Accounts verschafft.

 

... Sicherheitslücke nicht auszuschließen

 

... Vorsichtsmaßnahme ... neues Passwort.

Mein Dank zunächst mal an Bitcoin.de für die schnelle Reaktion. So ärgerlich solche Vorfälle sind, wird mein Vertrauen in Bitcoin.DE durch offenen Umgang und kompetente Reaktion nicht kleiner, sondern größer, ähnlich wie mein Vertrauen zu MtGox durch deren Umgang mit dem Hackerangriff von 2011 letztlich nicht gesunken, sondern gewachsen ist.

 

__________

 

Es besteht heute weitgehend Konsens darüber, dass Sicherheit im Internet nur durch offenen Umgang mit auftretenden Problemen und nicht durch die früher übliche Verheimlichung von Details zu erreichen ist - Details, die irgendwann doch mit der Folge bekannt werden, dass die Sicherheit dann vollends ruiniert ist.

 

Um mir selbst ein Urteil über die Qualität der Problemlösung erlauben zu können, bitte ich Bitcoin.DE um mehr Informationen zu der 'bereits geschlossenen Sicherheitslücke'.

 

__________

 

Mit der 'Vorsichtsmaßnahme ... neues Passwort' fühle ich mich etwas unwohl, nachdem Bitcoin.de in einer früheren Information meinte, der aktuelle Hackerangriff würde über geknackte Email-Accounts gefahren, das 'neue Passwort' aber gerade über die bei Bitcoin.DE hinterlegte Email-Adresse angefordert werden muss.

 

Wie soll man da ausschießen, dass es nicht der Konto-Inhaber, sondern der Hacker ist, der das 'neue Passwort' anfordert? - Gut, sobald der richtige Konto-Inhaber einzuloggen versucht, wird er merken, dass sein 'altes' Passwort nicht mehr funktioniert - Aber bis dahin könnten seine Bitcoins schon längst gestohlen oder anderer Unsinn angerichtet sein.

 

Ist wenigstens sicher gestellt, dass vor Anforderung des 'neuen' Passwortes das 'alte' Passwort korrekt eingegeben werden muss?

 

Wäre es unter diesen Umständen nicht sicherer, wenn Bitcoin.DE nochmal 0,01 € mit Prüf-Code an jedes verifizierte Bankkonto überweist und dieser Prüf-Code (nach Ablauf von zwei Tagen) nach dem Einloggen einmalig eingegeben werden muss?

Bearbeitet 18. April 2013 von Toni
Tippfehler korrigiert

[n4cer]

Mich würde vor allem interessieren, welche Informationen evtl. auch gestohlen werden konnten... Bankdaten?

[Vknwxudwbikr]

Mein Dank zunächst mal an Bitcoin.de für die schnelle Reaktion.

Dem kann ich mich nur anschließen - es ist wichtig und auch sehr positiv, dass hier schnell und offen reagiert wird!

 

Wie soll man da ausschießen, dass es nicht der Konto-Inhaber, sondern der Hacker ist, der das 'neue Passwort' anfordert? - Gut, sobald der richtige Konto-Inhaber einzuloggen versucht, wird er merken, dass sein 'altes' Passwort nicht mehr funktioniert - Aber bis dahin könnten seine Bitcoins schon längst gestohlen oder anderer Unsinn angerichtet sein.

 

 

--> In diesem Kontext bitte ich dringend bitcoin.de, sich meine Idee bezüglich verbesserte Sicherheit der "Passwort vergessen"-Funktion zu überlegen (falls das wirklich auch ein Grund für die Angriffe war):

 

https://forum.bitcoin.de/technik-entwicklung-sicherheit/694-vorschlag-fuer-mehr-sicherheit-gegenueber-hacker-phisher.html

 

(NB: Bei einer Website, wo es direkt um Verwaltung von Geld geht, wie zB Online-Banking, ist es auch nicht mehr üblich/möglich, sich einfach per email ein neues PW zusenden zu lassen.)

[ne0phyte]

Dieser Satz weckt meine Neugier - es gibt hier Sicherheitslücken die erst von Usern gemeldet werden müssen bevor sie auffallen?

 

Ein sehr großer Teil aller Sicherheitslücken und Fehler fällt erst beim Endbenutzer auf. Man kann sehr vieles mit entsprechender Software, einer sehr guten Unit-test Abdeckung (bei kritischen Dingen sowohl Positiv- als auch Negativtests) und natürlich einem Minimum von 2 Personen die Änderungen am Quellcode reviewen bevor sie ins Produktivsystem übernommen werden erreichen, aber alle Fehler und eventuelle Lücken findet man nicht.

Allein schon weil Entwickler anders testen als Anwender. Oft sind es auch völlig blöde Umstände die zu Fehlern/Lücken führen die man bei der Entwicklung nicht mal in Betracht ziehen würde.

Bearbeitet 18. April 2013 von ne0phyte