Achtung! Gmx-Mail-Accounts womöglich nicht sicher
Gestern wurde bekannt, dass mehrere gmx-accounts von Mitgliedern des Forums bitcointalk.org gehackt worden sind. Ein Hacker hat über die gmx-Adresse den Bitcointalk-Account eines renommierten deutschen Mitglieds gekapert und in dessen Namen einen Zero-Day-Exploit angeboten, der es erlaubt, bei gmx das Passwort zurückzusetzen. Mindestens ein weiterer deutscher User scheint betroffen zu sein. Auch wenn die Lücke noch nicht bestätigt ist und auch nicht klar ist, ob ein Hacker noch weitere Informationen benötigt, um einen gmx-Account zu übernehmen, sollten Kunden von bitcoin.de sicherheitshalber Maßnahmen ergreifen.
Es scheint bei gmx schon länger eine Sicherheitslücke zu geben, auch wenn nähere Details nicht bekannt sind und nicht auszuschließen ist, dass keine Schwachstelle von gmx, sondern Malware auf dem System der Nutzer die Ursache ist. Bereits im September wurde auf diese Weise der gmx-Account von Satoshi Nakamoto gehackt. Im Dezember wurde der gmx-Account des Electrum-Teams gehackt und daraufhin in deren Namen bei Twitter rassistische Tweets gesendet. Nun steht, wie es aussieht, eine Sicherheitslücke im Darkweb zum Verkauf. Ob es dieselbe ist oder ob der Verkauf wirklich und nicht reiner Betrug ist, ist reine Spekulation. Fakt ist, dass mehrere Berichte von Übernahmen von gmx-Accounts vorliegen. Dabei scheint es so, als sei ein Angreifer darauf angewiesen, dass die E-Mail-Adresse bekannt ist.
Da ein E-Mail-Account in vielen Fällen für eine virtuelle Identifizierung für verschiedene Dienste genutzt wird, kann eine feindliche Übernahme sehr unangenehm werden. Kunden von bitcoin.de, die einen gmx-Account haben, sollten auf jeden Fall so schnell wie möglich eine 2-Faktor-Authentifizierung über 1. eine andere E-Mail-Adresse, 2. ihr Smartphone, 3. einen Yubikey oder 4. eine Passworttabelle einrichten. Es ist zwar nicht möglich, ohne Verifizierung durch eine Tan per SMS Bitcoins von bitcoin.de auszuzahlen, allerdings sollte man dennoch kein Risiko eingehen, dass ein Fremder sich Zugang zum Account verschafft.
Um seine Identität zu beweisen, obwohl ein Mail-Account gehackt wurde, empfiehlt sich die Installation eines Programmes wie GnuPGP, mit dem man eine eigene Signatur erstellen kann. Indem GnuPGP einen öffentlichen und einen privaten Schlüssel generiert und den öffentlichen Schlüssel in ein Verzeichnis einträgt, kann der Besitzer des privaten Schlüssels beweisen, dass er er ist, indem er eine Nachricht mit diesem signiert. Dies kann nur vom Besitzer des privaten Schlüssels gemacht werden, doch jeder, der den öffentlichen Schlüssel kennt, kann die Signatur prüfen. Bitcoin.de empfiehlt daher schon länger, ein Verschlüsselungsprogramm zu installieren und sich die automatisierten E-Mails verschlüsselt zusenden zu lassen.
Das kann ich bestätigen!
Ich wurde in der Nacht auf Neujahr angegriffen. Es wurde versucht sowohl Zugriff auf Bitcoin.de als auch auf Coinbase zu bekommen. Glücklicherweise habe ich bei beiden Anbieter 2 Factor Authentifierzung und u.a. GPG eingestellt.
Ich hoffe GMX bessert nach …
Kann es vielleicht sein, dass das Problem bei gmx ist, dass diese Seite im „Default-Modus“ das Passwort unverschlüsselt sendet? Mir ist diese Besonderheit von gmx vor 10 Jahren oder so aufgefallen und seitdem erhöhe ich die Sicherheit auf manuellem Weg. Wenn man es weiß, ist es ganz einfach zu beheben.
Das Problem tritt nur auf, wenn man sich online anmeldet, also direkt im Browser über http://www.gmx.net.
Dann kommt man nämlich auf http://www.gmx.net, das Passwort wird dann unverschlüsselt gesendet und kann evtl. abgefangen werden.
Deswegen gebe ich von Hand immer ein https:// ein, dann schaltet die Seite erst auf ssl-Verschlüsselung um.
Bei Mailprogrammen wie Thunderbird, Outlook etc.. sollte das aber kein Problem sein, da an dieser Stelle sowieso der Port 995 verwendet werden muss, da ist dann die Anmeldung sowieso ssl verschlüsselt.
Also entweder nie über den Browser anmelden oder – falls es doch mal sein muss – immer darauf achten, dass man https:// vorne eingibt und mit „Enter“ auf ssl umschaltet.
Es ist nur eine vage Vermutung, dass es dieser alte Fehler sein könnte, ansonsten funktioniert gmx sehr gut und ich hatte bisher noch nie Probleme. gmx ist gut, hatte noch nie Probleme damit.
Falls ich die Situation falsch einschätze, bitte um Rückinfo!
Nochmal:
Wenn es das SSL Problem ist, also wenn meine Vermutung zutreffen sollte.. Passworte, die ohne SSL gesendet werden, können von jedermann mitgelesen werden. Dazu muss man nur ein kleines Skript zur Seite hinzufügen, wofür man heute nichtmal programmieren können muss.
Das spricht jetzt aber nicht gegen gmx an sich. Das ist eher ein Einstellungsfehler, das Problem http/keine https haben viele Seiten, weil es heute Hip ist, 1000 Inhalte in die Startseite zu packen.
Es ist eher ein allgemeines Problem, dass viele Seiten das Login noch nicht verschlüsselt senden, da sind noch andere Webanbieter. betroffen. Der Anwender könnte die Seite ja selbst verschlüsseln, wenn er wüsste, was ssl ist und wenn er in der Lage wäre, oben in der Addresszeile 5 Buchstaben und 3 Sonderzeichen einzugeben. Und dann wäre es sicher bzw. sicherer!
Bedenklich wäre es nur, wenn es ein richtiger Fehler wäre, also eine echte Sicherheitslücke. Deswegen wäre es mir wichtig, dass jemand meine Annahme bestätigt oder widerlegt.
Mir wäre wichtig zu wissen: Haben sich die betroffenen User ohne SSL an gmx angemeldet?
Ich glaube nicht das SSL hier das Problem ist, sondern das es eher eine „Hintertür“ bei GMX gibt. So wie oben geschildert braucht man angeblich nur die Email … ein Passwort braucht man wohl nicht …
Das wäre ja furchtbar!
Exploits gibt es ja viele, aber meist sind diese nur im Sonderfall xy anendbar. Wenn man wirklich jede Mailadresse bei gmx öffnen kann, das wär’s dann gewesen mit gmx. Zugang zu Millionen Nutzerdaten und gmx-Adressen hätte man ja auch alle, muss man nur in die Kontakte der Mailanwender schauen.
Kann ich meinen gmx-Account temporär sperren, bis wir mehr wissen?
Die Sicherheitslücke kostet das ja nur 1-2 Btc, dann könnte man selbst prüfen, ab man damit beliebige gmx-Accounts hacken kann.
Andererseits würde jemand, der einen solchen Exploit hätte, den bestimmt nicht so billig verkaufen. Der könnte doch das tausendfache damit machen. Also doch alles nur Scam???
Irgendwie ist das ganze unlogisch, dann wieso sollte jemand rulaufem und rumposaunen, dass er alle gmx-Accounts knacken kann und dieses Wissen für kleines Geld verkaufen?
Mein GMX Passwort wurde jedenfalls geändert. Ich hatte keinen Zugang mehr auf mein Postfach. Wenn er meins erraten/gehabt hätte, wozu hätte er es dann noch zusätzlich ändern sollen? So habe ich es ja u.a. erst bemerkt das was faul ist ….
Ich wende mich jetzt von GMX erstmal ab. Bis die Sache geklärt ist, kann ich nur jeden empfehlen bis dahin das gleiche zu tun. D.h. Email Adresse und Passwort bei bitcoin.de und Co zu ändern. Wenn noch nicht geschehen wie oben geschrieben unbedingt auch eine 2-Faktor-Authentifizierung und zusätzlich GPG zu nutzen.
Ja, gmx hat glaub ich fertig! Danke für den Erfahrungsbericht!
Da ich nie Probleme hatte und eigentlich zufrieden war, dachte deshalb halt immer „Never Change a running System“. Aber irgendwie scheint die das Thema Sicherheit nicht wirklich zu interessieren. Auch zu dem Exploit haben sie sich bisher noch nicht geäußert.
Und die aggressive Mail-De Kampagne letztes Jahr hat mich auch etwas gestört!
Habe mal zu Sicherheit alle Mails auf dem Server gelöscht, damit nichts für einen potentiellen Hacker nachvollziehbar ist. Werde nun nach und nach alles umstellen (eigener Mailserver – eigene Domain). Das kann dann etwas dauern! Domains mit Mailserver sind heute nicht mehr so teuer.
Hab recherchiert. Also es scheint den Passwort Reset Exploit zu handeln, d.h. wenn man mit seinem Passwort noch draufkommt, ist es nicht durch diesen Exploit gehackt. Wenn er gehackt ist, wird das Passwort zurückgesetzt – der Täter kennt das alte Passwort jedenfalls nicht, sondern setzt durch eine Sicherheitslücke ein neues Passwort.
Danke auch für deine Infos!
Werde selbst auch noch etwas recherchieren und ich sah das bisher genauso … never change a running system … jetzt war es leider doch soweit 🙁
Der Telefon Support von GMX streitet zumindest bisher alles ab …
Hallo zusammen. Habe durch Zufall gerade den Blog hier gefunden, werde jetzt aber öfters vorbei schauen 🙂
Ich hatte das selbe Problem bei gmx. Ich denke man hat exakt bis 31.12. um 12 Uhr gewartet – dann hat die Telefonhotline zu gemacht und macht erst am 02.01. um 9 Uhr wieder auf . Man hat dann Nachmittags mein Passwort geändert.. Zum Glück ist gmx.de sowas von schlecht programmiert, dass ich im Webinterface ( nach Tagen.. ) noch eingeloggt war obwohl das Passwort ja geändert ist. Ich konnte dann das Passwort wieder für mich ändern. So ging das dann den ganzen SIlvesterabend hin und her.. Zwischendurch hatte er sogar seine Handynummer +436********415 zum Passwort-Reset hinterlegt. ( Nicht von mir zensiert.. aber gmx meint auch mit Strafanzeige bekomme ich die Nummer nicht.. )
Der Hacker mit der IP 73.18.148.9 hat dann bei allen möglichen Bitcoin-Diensten auf Passwort-Reset geklickt und das durchgeführt.. Bei manchen hatte ich noch kein 2FA aktiv.. Da ich online war und die ganzen Mails sah ( warum eigentlich gmx, ich hatte ja das „falsche“ Passwort? ) – pures Glück also.. Ich hab dann alle Passwörter erneut zurück gesetzt und 2FA aktivert.. Betroffene Dienste:
noreply@cloud.zenminer.com
sales@bitcoincloudservices.com
no-reply@dropbox.com
noreply@ltcgear.com
NiceHash.com
[CEX.IO]
ZEUSHASH
Der Hacker war also nicht allzu intelligent, sonst hätte er selbst 2FA aktivert und ich wäre für immer draussen.. Oder er hätte im gmx webinterface mehr zerstören können..
Ich hatte also keine Verluste, aber viel Stress.. meine eigene Silvesterparty verpasst 🙁
Die Frage ist wie der Täter in den Account kam.. Am Telefonsupport konnte man mir immerhin bestätigen dass es nicht per Telefon passiert ist.. Ich hatte zwischendurch 200 fehlgeschlagene logins.. aber mein Passwort sollte mit 11 Zufallszeichen eigentlich sicher sein.. Fakt ist: Nachdem ich das Passwort geädnert hatte, konnte es der Täter wieder ändern.. das ging so bis zum 03.01. Dann habe ich mit dem AVG Virenscanner mal mein Thunderbid-Programm gescannt. Er hat etwas gefunden:
Trojaner: Exploit.Java_c.NMG
C:\Users\***\AppData\Local\Thunderbird\Profiles\***.default\Cache\4\3F\***
und es lief ein Java-Prozess der 1 GB Ram braucht..
Auf jeden Fall benutze ich seitdem Thunderbird nicht mehr und habe auch keine Probleme!
Es handelt sich also möglicherweise um eine Thunderbird-Lücke, die es erlaubt, das Passwort vom lokalen PC auszulesen und an den Hacker zu senden.. Er sendet also die infizierte Mail und diese wird vielleicht sogar ausgeführt, wenn man sie noch nichtmal liest / es im spamfolder liegt… Dann kann er das Passwort ja bequem bei gmx ändern.
GMX hat meine Probleme am Telefon zwar brav angehört.. Konnte mir aber keine Hilfe bieten.. Ip-Whitelists oder Blacklists sind nicht möglich.. 2FA sei in Entwicklung, aber es gibt noch keinen Termin..Logfiles gibt man nicht an Kunden, auch bei Strafanzeige kriegt man höchstens eine IP.. Wenn man ausgesperrt ist, kann man am Telefon die sofortige Sperrung des Kontos beantragen. Dann muss man von einer anderen Email aus eine Kopie des Personalausweises an GMX senden und bekommt dann ein neues Passwort. Zusätzlich kann man hinterlegen, dass soetwas mit mit zusätzlichen Dokumenten möglich ist, wie Bankkarte oder Führerschein.. Das ganze funktioniert aber logischerweise nicht nachts oder an Feiersagen, wenn der Support nicht arbeitet!
Also Sofortmaßnahme sollte man selber alle drei(!) Sicherheitsmechanismen für vergessenes Passwort aktivieren: Andere Email, Handynummer und Sicherheitsfrage für den Telefonsupport.. Ausserdem eine Filterregel erstellen, die alle neuen Emails automatisch löscht und an eine andere Adresse weiter leitet. So kriegt der Hacker keine Links.. Ausserdem alte Emails löschen damit die möglichen Angriffsziele nicht wie auf dem Präsentierteller im Posteingang liegen! Thunderbird vorerst vermeiden.. SSL manuell aktiveren ( auch wenn ich denke dass GMX das login schon verschlüsseln wird.. ) Und man sollte natürlich bei allen Diensten 2FA aktiveren, selbst wenn es nur ein Pool mit 0.001 BTC ist ^^
Wer kann ein geeignetes Verschlüsselungsprogramm empfehlen?
Krass seid ihr Blöd. GMX dafür verantwortlich zu machen, wenn ihr euch selbst Viren einfangt oder schlechte Passwörter nutzt.
gibts es hier auch einen Support wo ich mich anwenden kann, da ich einpaar Hilfen benötige?
gibt es hier einen support ?