Die Bitcoin Pokerseite Seals with Clubs hat bestätigt, dass ihre Datenbank kompromittiert wurde, obwohl sie nicht erwähnt hat, dass sie 42, 020 Hash-Passwörter verloren hat. Die Hashes wurden ungefähr 24 Stunden vorher in ein Forum gepostet, und es ist unnötig zu erwähnen, dass sie viele Leute angezogen haben, die darauf aus waren, sie zu knacken.

Aus irgendeinem Grund verwendeten Siegel mit Keulen SHA1-Hash-Funktionen, die in jeder Hinsicht veraltet sind. Selbst der neueste SHA3-Hash ist nicht für Passwörter geeignet und es scheint, dass die Site auf kryptographisches Salting angewiesen war, um sie sicherer zu machen, um sicherzustellen, dass verschiedene Hashes verwendet werden, selbst wenn zwei Benutzer das exakt gleiche Passwort wählen.

In jedem Fall dauerte es nicht lange, bis die Leute mit der Suche nach Passwörtern wie "bitcoin1000000", "sealswithclubs", "88seals88" und "pokerseals" begannen. Die aufgedeckten Passwörter führten schnell dazu, dass Sicherheitsexperten sich den Punkten anschlossen und zu dem Schluss kamen, dass die Passwörter von Seals mit Clubs-Benutzern stammten.

Am Mittwoch hat ein Benutzer die Hash-Datenbank in ein Passwort-Wiederherstellungsforum gepostet, das vom kommerziellen Passwort-Cracking-Dienst InsidePro betrieben wird. Der Benutzer bot $ 20 in Bitcoins für jeden Satz von tausend eindeutigen Hashes an. Es dauerte nur neun Minuten für die erste Antwort und den ersten Satz von 1.000 Hashes. Innerhalb eines Tages waren rund zwei Drittel der Liste geknackt, berichtet Ars Technica.

Am Donnerstag war Siegel mit Keulen im Schadenskontrollmodus und gab offiziell den Verstoß bekannt und gab an, dass es ein obligatorisches Zurücksetzen des Passworts ausgegeben hat. Ein Beitrag auf seiner Website lautete:

Das Rechenzentrum, das wir bis November eingesetzt haben, erlaubte unbefugten Zugriff auf einen Datenbankserver und unsere Datenbank mit Benutzeranmeldeinformationen wurde wahrscheinlich kompromittiert. Passwörter wurden pro Benutzer gesalzen und gehackt, aber um sicher zu gehen, MUSS jeder Benutzer sein Passwort ändern, wenn er sich das nächste Mal anmeldet.

Bitte tun Sie dies so bald wie möglich. Wenn Ihr Seals-Passwort für einen anderen Zweck verwendet wurde, sollten Sie diese Passwörter ebenfalls vorsorglich zurücksetzen.

Die Website weist darauf hin, dass zusätzliche Sicherheitsmaßnahmen implementiert werden, einschließlich Zwei-Faktor-Authentifizierung und Anmeldung von einer begrenzten Anzahl von IP-Adressen.

Dies wird jedoch kein anderes Problem lösen. Da Seals with Clubs ein Bitcoin-Only-Service ist, ist jeder Kontoinhaber ein Bitcoin-Nutzer und es besteht eine gute Chance, dass zumindest einige von ihnen dasselbe Passwort auf anderen Bitcoin-Websites wiederverwendeten. Mit anderen Worten, einige Benutzer verwenden möglicherweise genau das gleiche Passwort auf ihren Austauschkonten oder Online-Brieftaschen.

Was Siegel mit Clubs betrifft, ist es eine relativ kleine Site im Vergleich zu großen Texas Hold'em-Sites. Das kleine Team von Pokerspielern hinter der Seite entschied sich, anonym zu bleiben und die Seite wurde anscheinend nach ihrer Entlassung gestartet.Wir hoffen, Poker während der Bürozeiten zu spielen, hat damit nichts zu tun.