Hacker haben Inputs.io, einem Anbieter vermeintlich „sicherer“ Web-Wallets, rund 4.100 Bitcoins verschiedener Nutzerkonten entwendet. Sie verschafften sich Zugang zum Hosting-Account, nutzten eine serverseitige Sicherheitslücke und überwiesen Bitcoins im Wert von etwa 800.000 Euro. Empfänger ist ein vermutlich ebenfalls gehackter Server, der nur als „Mittelsmann“ diente.
Alle gestohlenen Bitcoins befanden sich offenbar in sogenannten „hot wallets“. Jedes Nutzerkonto braucht ein solches „hot wallet“, um aktuelle Überweisungen zu ermöglichen, schreibt ein Kommentator auf Hackernews. Laut einigen Forenbeiträgen werden die aus Nutzerkonten gestohlenen Bitcoins unter bestimmten Umständen zurückerstattet. Das gilt insbesondere für erst kürzlich eingezahlte Bitcoins.
Import.io entschuldigte sich über die Unternehmenswebsite bei allen betroffenen Nutzern. In einer Mitteilung, deren Autor nicht namentlich genannt wird, heißt es: „Ich weiß, das bedeutet nichts, aber es tut mir leid. Zu sagen, dass ich sehr traurig bin, dass dies passierte, ist eine Untertreibung“.
:(
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Two hacks totalling about 4100 BTC have left Inputs.io unable to pay all user balances. The attacker compromised the hosting account through compromising email accounts (some very old, and without phone numbers attached, so it was easy to reset). The attacker was able to bypass 2FA due to a flaw on the server host side.
Database access was also obtained, however passwords are securely stored and are hashed on the client. Bitcoin backend code were transferred to 10;[email protected]:[email protected] (most likely another compromised server).
What about my coins there? If you stored more than 1 BTC, send an email to [email protected] with a Bitcoin address (preferably, an offline, open source light/SPV wallet like Multibit or Electrum). Use the same email you’re using on Inputs. Please don’t store Bitcoins on an internet connected device, regardless of it is your own or a service’s.
I know this doesn’t mean much, but I’m sorry, and saying that I’m very sad that this happened is an understatement.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) iQEcBAEBAgAGBQJSeuZ9AAoJEB7FawRj3T8Th5QH/iapt2DUuyy1j7t51y1N1LOk +Gu5fdIAV8molXnv+InMQvxtfxWfc7zKiROSP6Zv1cXdvMrCyzKP+SnTEFshIa+0 j2FYOgLeMNmsPSw8yeR1O8vJieYlK+7imEZL4nRKA+O+mjqCT1nTCtBUAVcYQ8Uu O6BoNLkgT8z/1ZTfw+OK4t2kw9KcC317JOv3yVugfA3xCn4HbKPRP2yFIKR49C7L w7C2h3L1jHqLerQNjbowcyKH83BFJ2IB0cFZFFCLBI+8NQcUIcIFymxrxUV73Rqa xlMPX2rPFcIj6yz0ABl1t2rwY2DGOvc33MYCzX82CumLx/qAXCd2uF/jG6fzQ5M= =Ip/9 -----END PGP SIGNATURE-----
Quelle : t3n.de / inputs.io