Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cryptocurrency-handelaar LiteBit meldt inbraak op servers

Door , 62 reacties, submitter: williamvdh

Er is ingebroken op de servers van LiteBit, een online handelsplaats voor het kopen en verkopen van cryptocurrency zoals bitcoin. Volgens het bedrijf is er geen toegang verkregen tot de digitale portemonnees, maar liggen er mogelijk wel persoonsgegevens op straat.

Volgens een verklaring van LiteBit vond de inbraak plaats op 5 augustus, en is inmiddels bekend hoe de inbrekers binnen zijn gekomen. In de verklaring wordt echter geen nadere toelichting gegeven. Wel is duidelijk dat de inbrekers zichzelf toegang hebben verschaft tot de servers met persoonlijke gegevens van klanten, waardoor er mogelijk zaken zoals e-mailadressen, versleutelde wachtwoorden, bankrekeningnummers, telefoonnummers, adressen en portfoliogegevens buitgemaakt zijn.

LiteBit weet echter niet zeker of er daadwerkelijk gegevens zijn gestolen, en daardoor is ook niet bekend hoeveel klanten er mogelijk getroffen zijn. Wel stelt het bedrijf dat de hackers geen toegang hebben gehad tot de servers waarop de wallets zijn opgeslagen, ofwel de digitale portemonnees met cryptocurrency. LiteBit raadt aan om tweetrapsverificatie in te stellen en het wachtwoord te veranderen.

Met LiteBit is het mogelijk om digitale valuta, zoals bitcoin en ethereum te kopen en verkopen. In totaal worden er rond de 50 verschillende cryptocurrency aangeboden via de website.

Bauke Schievink

Admin Mobile / Nieuwsposter

8 augustus 2017 18:21

62 reacties

Submitter: williamvdh

Linkedin Google+

Reacties (62)

Wijzig sortering
Ik had al het vermoeden dat er iets mis was omdat ze (LiteBit) de under-attack modus van Cloudflare gister de hele dag aan hadden staan.

Ik heb de meeste wallets niet bij Litebit maar heb weleens crypto's bij ze gekocht. Daarnaast heb ik laatst mijn bitcoins omgezet naar bitcoin cash en die ene wallet staat wel bij Litebit.

Hoewel ik respecteer dat ze openheid van zaken geven vind ik wel dat ze het eea bagatalliseren. De buitgemaakte gegevens zijn niet niks en er kan inderdaad narigheid mee uitgehaald worden.

Onder de reacties hier lees ik wantrouw mbt de security van de service en bij mij kruipt hetzelfde gevoel. De mail die "we" vandaag ontvingen stemt mij somber. Per direct wordt gesteld dat wallets en identificatiedocumenten niet zijn gecompromiseerd maar daar wordt geen enkele onderbouwing voor aangeleverd. De gegevens die wel buit zijn gemaakt: "In het ergste geval heeft een onbevoegd persoon toegang gekregen tot jouw; email adres, versleutelde wachtwoord, IBAN, telefoonnummer, adres en uw portfolio gegevens." doen ze naar mijn mening te makkelijk over.

Ik had er meer vertrouwen in gehad als alles op slot/offline was gegaan waarna volledige openheid van zaken wordt gegeven en pas daarna de boel weer opstarten. Maar ja, geld verdienen is belangrijker....
mjah, de meeste mensen (mijzelf incluis) denken gelijk "OMG MY BITCOIN!?) dus ze geven alvast aan dat daar niets mee is, wat waarschijnlijk wel te onderbouwen is, aangezien ik aanneem dat het meeste toch in offline wallets bewaard wordt.

Maar waarom slaan ze het IBAN niet versleuteld op trouwens? Waarom bewaren ze die sowieso?
Ze slaan je IBAN op omdat je die moet verifiŽren. Bij toekomstige stortingen checken ze je IBAN, is het een andere bankrekening dan moet je die vervolgens ook weer verifiŽren. Waarom ze die unencrypted opslaan mag Joost weten.
Waarom ze die unencrypted opslaan mag Joost weten.
Hierom, ik snap niet dat mensen zo paranoia doen over een IBAN.

[Reactie gewijzigd door Jace / TBL op 9 augustus 2017 09:15]

Ik heb de hele email nog niet eens gehad! Kennissen om mij heen al wel... Ik had geen 2FA authenticatie op het account en er staat slechts wat NLG in de wallet bij hun dus daar lig ik nog niet direct wakker van. De rest in eigen wallets, gelukkig. Ik heb nu wel het wachtwoord van mijn account aangepast maar inderdaad; wat er wel mogelijk buit gemaakt is, zoals andere hier ook stellen is wel een stuk serieuzer. Identiteitsdiefstal is geen gek iets natuurlijk.
Het is sowieso onverstandig en risicovol om je Wallet door een andere partij te laten beheren.

Iedere partij welke voor grotere hoeveelheden aan wallets beheren is een zogeheten 'honey pot’ en zal vroeg of laat te maken krijgen met hacks en andere ongemakken. Kies je ervoor daar je munten te laten beheren dan dien je te weten dat daar behoorlijke risico's aan kleven.

Pas daar dus mee op, gebruik altijd wallets waarbij je jou private Keys zelf in beheer hebt en sla deze op meerdere veilige plekken op(of neem een hardware Wallet).

Gebruik daarnaast services welke al jarenlang bekend staan om hun goede reputatie op het gebied van service, veiligheid en handelen in Crypto valuta

www.anycoindirect.eu (houden geen wallets voor klanten en adviseren het gebruik van private Keys) bijvoorbeeld
Anycoindirect hanteert wel hele rare koersen
op dit moment
koop 1 stratis 9.04
verkoop 1 stratis 4.97
Koop 100 stratis: 670
Verkoop 100 stratis: 630
Ja vanaf 10 coins gaat het wel goed. Daaronder zijn het rare koersen.
De mail van litebit:
Beste,

Op 5 augustus 2017 hebben wij ongebruikelijke activiteiten op de servers van LiteBit waargenomen. Hieruit hebben we helaas moeten concluderen dat er onrechtmatig toegang is geweest tot de gegevens van LiteBit. Er is niet ingebroken op de wallet servers van LiteBit, alle munten van klanten staan veilig. Ook zijn er geen verificatie documenten (identiteitskaart of paspoort) betrokken bij dit incident.

De oorzaak van het lek is bekend, en de problemen zijn inmiddels opgelost. Het is niet duidelijk of er daadwerkelijk gegevens gestolen zijn. In het ergste geval heeft een onbevoegd persoon toegang gekregen tot jouw; email adres, versleutelde wachtwoord, IBAN, telefoonnummer, adres en uw portfolio gegevens.

Wat betekent dit voor u?
Voor gebruikers die 2-staps authenticatie aan hebben staan, is het heel erg belangrijk dat ze deze opnieuw instellen. Wij raden ook aan om deze extra beveiligingsmaatregel in te schakelen, voor klanten die dat nog niet gedaan hebben.

Daarnaast is het van belang om uw wachtwoord regelmatig te veranderen.

Heeft u nog andere vragen? Druk dan hier
Onze excuses voor het ongemak,

Team LiteBit.eu

[Reactie gewijzigd door markieo op 8 augustus 2017 18:28]

Geen info over gebruikte encryptie? En worden dingen als Iban uberhaubt wel geŽncrypteerd?
Waarom zou je IBANs encrypten? Iedereen aan of van wie jij ooit een banktransactie hebt overgemaakt c.q. ontvangen heeft ook jouw IBAN, inclusief tenaamstelling. Bedrijven zetten hun IBAN expliciet op hun site en briefpapier. En het staat leesbaar op elke bankpas in je portemonnee (en die is makkelijker te jatten dan de database van een website). Dus ik zou me over een IBAN niet al te veel zorgen maken.
"In het ergste geval heeft een onbevoegd persoon toegang gekregen tot jouw; email adres, versleutelde wachtwoord, IBAN, telefoonnummer, adres en uw portfolio gegevens."

Opzich niet niks, ookal is het mogelijk.
Veel mensen gebruiken dezelfde email addressen en wachtwoorden. En als die mensen ook een account hebben bij een exchange (wat aannemelijk is) en verder geen extra beveiliging hebben, dan kun je alles kwijt raken.
Het *versleutelde* wachtwoord is mogelijk gehackt, dus daar kun je niets mee op andere sites, ook al gebruik je daar hetzelfde wachtwoord.
Zolang ze geen MD5/SHA1 crap gebruiken is dat inderdaad waar, maar gelukkig doen ze dat ook niet.
Waar baseer je het op dat ze geen md5/sha1 crap gebruiken?
Gezien het feit dat ik op dezelfde locatie zit en dit persoonlijk heb nagevraagd.
En wat gebruiken ze dan wel?
Als je een slecht wachtwoord hebt, bijv password123, dan is dat binnen een seconde gevonden in een lookup tabel. Het maakt dan ook niet uit wat voor hash algoritme je gebruikt. Om dat voor te zijn moet het zeker gesalt zijn, een random string aan een wachwoord plakken en dan pas hashen.
Als je zoiets als bcrypt gebruikt heb je toch altijd een willekeurige salt? Dan zou je geen last moeten hebben van rainbow tabellen. Desondanks raad ik niemand aan om 'password123' als wachtwoord te gebruiken.
Die salt zal je toch ook weer ergens vandaan moeten halen. Het betekent hoogstens dat men (een pak) meer tijd moet steken in het achterhalen van het gebruikte mechanisme. Eens je daar achter bent kan je ook gewoon weer rainbow tables aanmaken op basis hiervan. Niet verbaasd zijn als binnen 6 maand alsnog je wachtwoord op straat ligt. In dit geval alvast de moeite waard om het te proberen.
Dan kan er geen rainbow table worden gebruikt, tenzij er voor elk account een andere table maakt en ben je terug bij brute forcen. Die salt genereer je met een Cryptographically Secure Pseudo-Random Number Generator (CSPRNG) voor elk account een andere en als het WW wordt gewijzigd.
Dat is niet hoe rainbow tables werken. Met een salt + hash heb je voor elke gegenereerde salt dan een nieuwe rainbow table nodig, het kraken gaat dan niet sneller dan gewoon ouderwetsch een voor een bruteforcen.

Aan het einde van deze video legt Tom Scott het simpel maar wel correct uit: https://youtu.be/8ZtInClXe1Q
Als je een password gebruikt wat in de top 10000 meestgebruikte passwords voorkomt (en "password123" zal daar zeker onder vallen) maakt het niet zoveel uit wat voor extreem sterke hash en salt men gebruikt.
Op iets wat in de praktijk kort genoeg duurt om soepel mee in te kunnen loggen, kan iemand lokaal ook wel even 10000 bruteforce pogingen doen.
Alle ingrediŽnten voor een identiteitsdiefstal aanwezig of om echte bankrekeningen te plunderen. En alles om transacties te kunnen traceren.

Deze exchange zou uit de roulatie genomen moeten.
Dus als er fysiek in mijn bedrijf wordt ingebroken en er vertrouwelijke klant gegevens worden gestolen moet het maar uit de roulatie worden genomen?

Dit is namelijk gelijkwaardig aan wat jij zegt.

[Reactie gewijzigd door Ccc op 9 augustus 2017 00:05]

Als je alles hebt ondernomen om het tegen te gaan is het een ander verhaal. Bijvoorbeeld kopieŽn paspoorten in afgesloten kast, niet alle zaken op 1 locatie et cetera.

Maar dit bedrijf had willens en wetens het gewoonweg niet op orde. Jammer dat die 8 ton boetes nog niet zijn ingegaan.
Het probleem is eigenlijk veel erger voor degene die GEEN wallet hebben bij litebit.

Mogelijk zijn dus ook de transacties bekeken naar andere online wallets.

In theorie heeft de onbevoegde nu kennis wie van welk account munten heeft overgemaakt.

Stel dat je een account hebt aangemaakt en bv XRP heb gekocht en deze heb je in gatehub draaien. Als je dus zo slim bent geweest om hetzelfde mail adres te gebruiken als bij litebit inc hetzelfde ww dan ben je de sjaak indien je daar 2 weg auth. hebt aan staan.

Misschien hebben ze toch de private key te pakken zonder dat jij het weet en dat ze pas een aantal maanden later je portomonnee leeg roven.
Maar als je de zelfde mail en ww gebruikt, ben je natuurlijk ook wel idioot bezig. Ik bedoel dit is echt niet de eerste keer en accounts met potentieel wallets erin zijn ZEER gewild. Je kunt er gewoon op wachten dat het mis gaat. Hou mijn hart nu alvast voor Poloniex...
...hetzelfde mail adres te gebruiken als bij litebit inc hetzelfde ww dan ben je de sjaak indien je daar 2 weg auth. hebt aan staan.
Hoezo indien? Ongeacht of je 2FA/MFA aan hebt staan, ben je dus de sjaak.
pas een aantal maanden later je portomonnee leeg roven.
Want iedereen heeft alles online staan? En waarom zou ik als crimineel eerst inbreken, de sleutels graaien en pas na maanden hier iets mee gaan doen?

Nee; of de getroffen accounts zijn nu al leegggehaald (wat niet kan volgens het artikel want de wallet-server was niet op ingebroken) of je moet inderdaad zo snugger zijn om je (virtuele) geld achter hetzelfde password overal op te slaan. Dus tenzij er nu mensen melden waarbij hun Gatehub-account of Kraken-account is leeggehaald, heeft men al tijd zat gehad sinds de mail van Litebit om passwords te veranderen :)
"Misschien hebben ze toch de private key te pakken zonder dat jij het weet en dat ze pas een aantal maanden later je portomonnee leeg roven."

Ik snap jouw redenatie niet. Ik handel veel via (ook) Litebit, bv om ETH te kopen. Maar, daar gebruik je toch je Ethereum-adres en zeker niet je private key voor? Ik vind deze hack erg vervelend, omdat er prive-gegevens gelekt kunnen zijn. Als je echter je private key van bv MEW kwijt bent geraakt door deze hack, dan klopt er vrnl. toch iets niet helemaal met hoe je handelt lijkt me.

EDIT: typo.

[Reactie gewijzigd door tms5dmark2 op 8 augustus 2017 20:43]

transacties zijn publiek in de blockchain opgeslagen en gewoon te bekijken. Je kan de gegevens van de andere wallets daardoor niet achterhalen, want er is enorm veel traffic tussen wallets.
Als je dus zo slim bent geweest om hetzelfde mail adres te gebruiken als bij litebit inc hetzelfde ww dan ben je de sjaak indien je daar 2 weg auth. hebt aan staan.
Ze hebben geen wachtwoorden. Ze hebben versleutelde wachtwoorden, waarvan ik mag hopen dat ze daarmee eigenlijk hashes van wachtwoorden bedoelen (die termen worden nogal makkelijk door elkaar gehaald). Maar ook als het inderdaad versleutelde wachtwoorden zijn, hebben ze dus niet je wachtwoord.

[Reactie gewijzigd door Jace / TBL op 9 augustus 2017 01:28]

Hoe veel vertrouwen moet je hebben in al die online brokers en handelsplaatsen wanneer ze de security maar niet op orde lijken te krijgen.

Hoe raar het ook klinkt, lijkt het wel of ze veiligheid er maar aan geknutseld hebben in plaats van basisfactor by design.

Doen traditionele banken en beurzen het toch beter, hoe lullig ook voor die nieuwe spelers.
Je doet nu alsof security bij banken zo goed is dat ze nooit getroffen worden, nou in het verleden komt genoeg naar voren dat daar ook inbraken worden gepleegd. Ook is de hack op swift netwerk een goed voorbeeld wat best veel in het nieuws kwam. Dat laatste is bij Bitecoin niet mogelijk.

Grootste voordeel van BTC is dat je zelf in handen hebt waar je geld wilt hebben staan. Als ik er in handel staat het op verschillende exchange, maar het geld waar ik niet mee handel staat op cold storage. Mijns inziens stukken veiliger dan geld in een oude sok onder je matras hebben liggen.

[Reactie gewijzigd door vali op 8 augustus 2017 18:57]

maar het geld waar ik niet mee handen (sic) staat op cold storage. Mijns inziens stukken veiliger dan geld in een oude sok onder je matras hebben liggen.
Klinkt vrijwel identiek aan hoe je dat met echt geld ook zou (kunnen) doen anders..
Bij een brand of inbraak ben ik mijn geld niet kwijt en het vervoeren is stukken gemakkelijker.

Identiek is het zeker niet als je in het concept van Bitcoints geloofd :)

[Reactie gewijzigd door vali op 8 augustus 2017 19:00]

Want je cold storage verbrandt niet of wordt meegenomen met de rest van de computer spulletjes bij een inbraak? :) Klinkt niet heel anders dan een plasic zakje met vijfhonderdjes.
In mijn geval kan ik bij brand m'n cold storage herstellen met een recovery seed die op een andere locatie veilig opgeslagen is.

Bij diefstal van mijn hardware wallet heeft de dief, als hij al weet wat het apparaat is en het niet als waardeloze USB stick ziet, 3 pogingen om de juiste pincode in te voeren voordat het apparaat zichzelf wist.

Hoe werkt dat met briefjes van 500?
Is het dus wel mooi weg dan
Nee, want bij diefstal kan ik de boel ook herstellen met de recovery seed (tenzij de dief uit puur toeval de pincode in 3 pogingen raadt).
Je kunt meerdere cold storage kopieŽn van je bitcoins op verschillende fysieke locaties bewaren. En ook online (encrypted dan natuurlijk).

Kun je een zakje met 500tjes encrypten en meerdere kopieŽn op verschillende plaatsen tegelijk bewaren?
Bij gewone banken is het gedekt, verzekerd, en ook nog eens gedekt door een garantiestelsel dus in geval van brand, diefstal, faillissement etc. is het allemaal goed geregeld.*

Als je coin-platform (ergens in AziŽ) ineens foetsie is, of gehackt, en jouw bitcoins ook, dan kan je ernaar fluiten.

*) m.u.v. diefstal door overheidsbeleid zoals geplande inflatie / verwatering etc.
Als je coin-platform (ergens in AziŽ) ineens foetsie is, of gehackt, en jouw bitcoins ook, dan kan je ernaar fluiten
Mijn coinplatform? Ik zou echt eerst onderzoek doen naar de materie voordat je dat soort uitspraken doet.
Ik bedoel niet als een hele munt weg is, maar als je je coins ergens geplaatst hebt, en die worden geroofd.
En vergeet niet zaken als skimmen ed.
Niet alles hoeft via een exploit in software te verlopen. Security is een som van al dat soort zaken.
Er een reden dat het coldstorage heet. Ook zijn er genoeg manieren om je coins te beveiligen.

De instanties die jou wilt laten denken dat BTC gevaarlijk is zijn banken en overheden. Vandaar dat ze al te graag posten zoals deze zoveel mogelijk voorbij willen zien komen.

[Reactie gewijzigd door vali op 8 augustus 2017 22:34]

Extreme security kost geld. En waarom denk je dat ze die exchanges draaien ? Juist ja, om geld te maken !
Extreme security kost geld.
Goede logging en intrusion detection+prevention zijn basisonderdelen in beveiliging en niet 'extreme'. Beide ontbraken, omdat ze anders wel konden vertellen of gegevens waren buitgemaakt. Slechte zaak.
De wallet zijn niet gehacked maar de gegevens van de klanten wel. Litebit valueerd dus de coins van hogere waarde dan de gegevens van de klant, want met een goeie beveiliging kan je ook de gegevens van de klant cold opslaan. Dit geldt voor heel veel bedrijven overigens. Ik zal zeker hier niet mijn wallets laten hosten en zo min mogelijk gegevens kenbaar maken. De uitgezonden mail vindt ik overigens ook zeer amateuristisch. Ik had graag wat meer onderbouwing gezien hoe ze dit soort taferelen gaan voorkomen in de toekomst, ipv enkel de klant wijzen op de 2FA en de gebruikelijke disclaimer om het wachtwoord regelmatig te wijzigen.

[Reactie gewijzigd door GoT.Typhoon op 8 augustus 2017 19:34]

Ik ontving de mail ook en de mail zei mij precies wat ik moest weten. Verdere informatie was in de statement te lezen. Oogde mij niet direct amateuristisch.

Wat verder goed is om te weten, dat de verificatie gegevens zoals ID kaart / paspoort ook niet toegankelijk waren. Daar maakte ik mij meer zorgen over, gezien je met wat grotere transacties jezelf eenmalig moet legitimeren.

Maar wat je zei betreft cold storage van klantgegevens ben ik het mee eens, ook al zou uitbetaling daardoor bijvoorbeeld een dag langer duren.
Ik vond het grootste probleem met de mail dat ze nergens naar eigen domeinen linkten alleen naar list-manage.com, en geen bewijs van afzender gaven. Kraken gebruikt tenminste PGP.

Had hem in de Junk gegooid en collega's gewaarschuwd nergens op te klikken. Bleek toch echt achteraf.
Daarentegen werd de mail naar het correcte email adres gestuurd en staat voornaam en achternaam in de header ;) maar goed goed, zo bekeken heeft hij een heeeeel klein beetje phishing trekje... klein beetje dan ;-)
Maar gezien de cloudflare meldingen krijgen ze wel meer te verduren dan alleen maar hackpogingen.
Dit is echt niet best. Ik wil niet mensen op ideeŽn brengen, maar met de gegevens die buit zijn gemaakt kan echt narigheid uit ontstaan.

Wachtwoord policy zit bij mij goed, maar alle andere punten liggen dus op straat. Voel me een beetje machteloos...

[Reactie gewijzigd door Crasheeee op 8 augustus 2017 18:28]

-En zo wordt een " vernieuwing " weer om zeep geholpen. -
Het klinkt erg, maar ik raak een beetje afgestompt als ik weer zoiets lees. Het lijkt alsof nergens ook maar iemand iets geeft om beveiligingen.
Ik weet ook wel dat vele sites en beheerders hun uiterste best doen om hun gegevens uit handen van anderen te houden, die komen hopelijk ook niet in het nieuws. Maar telkens als iemands vertrouwen wordt geschaad, duurt het hťťl lang om dat vertrouwen weer terug te winnen.
Net paar dagen terug hun voor het eerst gebruikt, nu dit mailtje, lekker dan.
Poeh, ben ik blij dat ik me nooit geverifieerd heb daar met persoonlijke gegevens en bankrekening.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*