Gestern wurde bekannt, dass mehrere gmx-accounts von Mitgliedern des Forums bitcointalk.org gehackt worden sind. Ein Hacker hat über die gmx-Adresse den Bitcointalk-Account eines renommierten deutschen Mitglieds gekapert und in dessen Namen einen Zero-Day-Exploit angeboten, der es erlaubt, bei gmx das Passwort zurückzusetzen. Mindestens ein weiterer deutscher User scheint betroffen zu sein. Auch wenn die Lücke noch nicht bestätigt ist und auch nicht klar ist, ob ein Hacker noch weitere Informationen benötigt, um einen gmx-Account zu übernehmen, sollten Kunden von bitcoin.de sicherheitshalber Maßnahmen ergreifen.
Es scheint bei gmx schon länger eine Sicherheitslücke zu geben, auch wenn nähere Details nicht bekannt sind und nicht auszuschließen ist, dass keine Schwachstelle von gmx, sondern Malware auf dem System der Nutzer die Ursache ist. Bereits im September wurde auf diese Weise der gmx-Account von Satoshi Nakamoto gehackt. Im Dezember wurde der gmx-Account des Electrum-Teams gehackt und daraufhin in deren Namen bei Twitter rassistische Tweets gesendet. Nun steht, wie es aussieht, eine Sicherheitslücke im Darkweb zum Verkauf. Ob es dieselbe ist oder ob der Verkauf wirklich und nicht reiner Betrug ist, ist reine Spekulation. Fakt ist, dass mehrere Berichte von Übernahmen von gmx-Accounts vorliegen. Dabei scheint es so, als sei ein Angreifer darauf angewiesen, dass die E-Mail-Adresse bekannt ist.
Da ein E-Mail-Account in vielen Fällen für eine virtuelle Identifizierung für verschiedene Dienste genutzt wird, kann eine feindliche Übernahme sehr unangenehm werden. Kunden von bitcoin.de, die einen gmx-Account haben, sollten auf jeden Fall so schnell wie möglich eine 2-Faktor-Authentifizierung über 1. eine andere E-Mail-Adresse, 2. ihr Smartphone, 3. einen Yubikey oder 4. eine Passworttabelle einrichten. Es ist zwar nicht möglich, ohne Verifizierung durch eine Tan per SMS Bitcoins von bitcoin.de auszuzahlen, allerdings sollte man dennoch kein Risiko eingehen, dass ein Fremder sich Zugang zum Account verschafft.
Um seine Identität zu beweisen, obwohl ein Mail-Account gehackt wurde, empfiehlt sich die Installation eines Programmes wie GnuPGP, mit dem man eine eigene Signatur erstellen kann. Indem GnuPGP einen öffentlichen und einen privaten Schlüssel generiert und den öffentlichen Schlüssel in ein Verzeichnis einträgt, kann der Besitzer des privaten Schlüssels beweisen, dass er er ist, indem er eine Nachricht mit diesem signiert. Dies kann nur vom Besitzer des privaten Schlüssels gemacht werden, doch jeder, der den öffentlichen Schlüssel kennt, kann die Signatur prüfen. Bitcoin.de empfiehlt daher schon länger, ein Verschlüsselungsprogramm zu installieren und sich die automatisierten E-Mails verschlüsselt zusenden zu lassen.