Jump to content

Sicherheitslücke


schopenhauer

Recommended Posts

"Der ärgerliche, aber überschaubare Schaden geht auf unsere Kappe, da entgegen unserer Meldung von heute Morgen doch nicht völlig auszuschließen ist, dass eine uns von einem User gemeldete und bereits geschlossene Sicherheitslücke mitverantwortlich für das Problem war."

 

Dieser Satz weckt meine Neugier - es gibt hier Sicherheitslücken die erst von Usern gemeldet werden müssen bevor sie auffallen?

Link to comment
Share on other sites

Wie soll eine Sicherheitslücke auffallen die beim Benutzer liegt? Es ist auch eine Sicherheitslücke sein Passwort auf die Stirn zu schreiben. :) Sicherheit ist immer relativ. Wer glaubt es gäbe die totale Sicherheit der irrt sich gewaltig.

 

Die größte Unsicherheit sitzt zwischen Stuhllehne und Tastatur.

Link to comment
Share on other sites

 

... haben sich Gauner unberechtigten Zugriff zu einigen Accounts verschafft.

 

... Sicherheitslücke nicht auszuschließen

 

... Vorsichtsmaßnahme ... neues Passwort.

Mein Dank zunächst mal an Bitcoin.de für die schnelle Reaktion. So ärgerlich solche Vorfälle sind, wird mein Vertrauen in Bitcoin.DE durch offenen Umgang und kompetente Reaktion nicht kleiner, sondern größer, ähnlich wie mein Vertrauen zu MtGox durch deren Umgang mit dem Hackerangriff von 2011 letztlich nicht gesunken, sondern gewachsen ist.

 

__________

 

Es besteht heute weitgehend Konsens darüber, dass Sicherheit im Internet nur durch offenen Umgang mit auftretenden Problemen und nicht durch die früher übliche Verheimlichung von Details zu erreichen ist - Details, die irgendwann doch mit der Folge bekannt werden, dass die Sicherheit dann vollends ruiniert ist.

 

Um mir selbst ein Urteil über die Qualität der Problemlösung erlauben zu können, bitte ich Bitcoin.DE um mehr Informationen zu der 'bereits geschlossenen Sicherheitslücke'.

 

__________

 

Mit der 'Vorsichtsmaßnahme ... neues Passwort' fühle ich mich etwas unwohl, nachdem Bitcoin.de in einer früheren Information meinte, der aktuelle Hackerangriff würde über geknackte Email-Accounts gefahren, das 'neue Passwort' aber gerade über die bei Bitcoin.DE hinterlegte Email-Adresse angefordert werden muss.

 

Wie soll man da ausschießen, dass es nicht der Konto-Inhaber, sondern der Hacker ist, der das 'neue Passwort' anfordert? - Gut, sobald der richtige Konto-Inhaber einzuloggen versucht, wird er merken, dass sein 'altes' Passwort nicht mehr funktioniert - Aber bis dahin könnten seine Bitcoins schon längst gestohlen oder anderer Unsinn angerichtet sein.

 

Ist wenigstens sicher gestellt, dass vor Anforderung des 'neuen' Passwortes das 'alte' Passwort korrekt eingegeben werden muss?

 

Wäre es unter diesen Umständen nicht sicherer, wenn Bitcoin.DE nochmal 0,01 € mit Prüf-Code an jedes verifizierte Bankkonto überweist und dieser Prüf-Code (nach Ablauf von zwei Tagen) nach dem Einloggen einmalig eingegeben werden muss?

Edited by Toni
Tippfehler korrigiert
Link to comment
Share on other sites

Mein Dank zunächst mal an Bitcoin.de für die schnelle Reaktion.

Dem kann ich mich nur anschließen - es ist wichtig und auch sehr positiv, dass hier schnell und offen reagiert wird!

 

Wie soll man da ausschießen, dass es nicht der Konto-Inhaber, sondern der Hacker ist, der das 'neue Passwort' anfordert? - Gut, sobald der richtige Konto-Inhaber einzuloggen versucht, wird er merken, dass sein 'altes' Passwort nicht mehr funktioniert - Aber bis dahin könnten seine Bitcoins schon längst gestohlen oder anderer Unsinn angerichtet sein.

 

 

--> In diesem Kontext bitte ich dringend bitcoin.de, sich meine Idee bezüglich verbesserte Sicherheit der "Passwort vergessen"-Funktion zu überlegen (falls das wirklich auch ein Grund für die Angriffe war):

 

https://forum.bitcoin.de/technik-entwicklung-sicherheit/694-vorschlag-fuer-mehr-sicherheit-gegenueber-hacker-phisher.html

 

(NB: Bei einer Website, wo es direkt um Verwaltung von Geld geht, wie zB Online-Banking, ist es auch nicht mehr üblich/möglich, sich einfach per email ein neues PW zusenden zu lassen.)

Link to comment
Share on other sites

Dieser Satz weckt meine Neugier - es gibt hier Sicherheitslücken die erst von Usern gemeldet werden müssen bevor sie auffallen?

 

Ein sehr großer Teil aller Sicherheitslücken und Fehler fällt erst beim Endbenutzer auf. Man kann sehr vieles mit entsprechender Software, einer sehr guten Unit-test Abdeckung (bei kritischen Dingen sowohl Positiv- als auch Negativtests) und natürlich einem Minimum von 2 Personen die Änderungen am Quellcode reviewen bevor sie ins Produktivsystem übernommen werden erreichen, aber alle Fehler und eventuelle Lücken findet man nicht.

Allein schon weil Entwickler anders testen als Anwender. Oft sind es auch völlig blöde Umstände die zu Fehlern/Lücken führen die man bei der Entwicklung nicht mal in Betracht ziehen würde.

Edited by ne0phyte
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.