Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cryptovalutabeurs BitMEX lekt duizenden e-mailadressen door verkeerde veld

Bitcoin-beurs Bitmex heeft duizenden e-mailadressen van klanten gelekt door die allemaal in het aan-veld van een e-mail te zetten. Dat gebeurde bij het versturen van een nieuwsbrief, door een fout in de software.

De e-mailadressen stonden allemaal in het 'aan'-veld van de e-mail in plaats van in de bcc. BitMEX heeft de fout inmiddels erkend in een blogpost. Het bedrijf waarschuwt daarin voor mogelijke phishingmails die slachtoffers kunnen krijgen. Ook zegt BitMEX dat er naast e-mailadressen geen verdere gegevens zijn uitgelekt. Het is niet bekend hoeveel e-mailadressen er precies zijn uitgelekt, maar in de mailings die gebruikers hebben gekregen zou het gaan om zeker duizend adressen. In een reactie aan The Block schrijft de coo van het bedrijf dat 'een meerderheid van de gebruikers, maar niet iedereen' is getroffen door het lek. BitMEX zou voor het versturen van de nieuwsbrief wel 'een softwarescript' hebben gebruikt, maar daarmee zou iets fout zijn gegaan. Het bedrijf onderzoekt nog hoe dat kon gebeuren.

Naast de fout van de gelekte e-mailadressen werd ook het Twitter-account van BitMEX tijdelijk gehackt. Onbekenden namen het account kort nadat de nieuwsbrief werd verstuurd over, en postten berichten met teksten als 'Take your BTC and run. Last day for withdrawals', en een kort bericht waarin alleen 'Hacked' stond. Volgens BitMEX is het geld van de gebruikers nog steeds veilig en gaat het enkel om de hack van het Twitter-account.

Er gaan wel vaker dingen mis bij het versturen van massa-e-mails. Onlangs gebeurde dat in Nederland bijvoorbeeld bij de gemeente Etten-Leur en bij een psychiatrisch centrum. Het is een van de meestvoorkomende datalekken die bij toezichthouders worden gemeld.

Door Tijs Hofmans

Redacteur privacy & security

01-11-2019 • 18:11

43 Linkedin Google+

Reacties (43)

Wijzig sortering
Ik heb deze mail van Bitmex ook gehad. Er staat inderdaad een gigantische lijst aan emailadressen bij. Ik zie er ook flink wat waarbij het adres de voornaam met achternaam is en dan @gmail. Die mensen lopen nog wat meer risico nu.
Zijn het er inderdaad duizend zoals anderen zeggen? Vond ik nogal aan de hoge kant klinken om in één keer iets naar te versturen.
999
Ik denk dat ze in batches van 1000-1 versturen. Lekker profi om zo je bulkmail te doen.

edit: zie dat de mails wel via sendgrid lopen. Misschien kunnen ze mn diensten nog gebruiken. Mijn systeem verzend iedere dag 1,5 miljoen mails (geen spam O-) ).

[Reactie gewijzigd door Jogai op 1 november 2019 20:28]

Ja dit klopt. Er zouden ook al 30000 e-mails aangeboden zijn op het Darknet: https://twitter.com/lawmaster/status/1190234348399804416

[Reactie gewijzigd door karpersmurf op 1 november 2019 19:30]

Ja dat zag ik ook voorbij komen maar ik kon het niet verifiëren dus heb het niet in het stuk gezet.
So i ran a quick search on the bitmex emails on 1 of my databases and ive gotten quite a few hits( cleartext passwords)

Do you guys think i should email the ppl i found passwords for?

https://twitter.com/TheCrypt0Mask/status/1190228203727659009

heel ziek
Ik heb de mail ook gehad en het lijken er inderdaad wel meerdere duizenden op het eerste gezicht. Exacte cijfers heb ik echter niet (geen mogelijkheid toe op mobiel)
Heb de mail ook gehad maar direct verwijderd vanochtend. Keek net naar de mail en het klopt. Een regel met mailadressen en dan nog +990. Misschien is t zelfs meer als je ze een voor een telt...

edit plaatje toegevoegd: https://imgur.com/eFIjAKQ

[Reactie gewijzigd door Musta op 1 november 2019 18:54]

Die 1000 kan wel kloppen. Het is lastig om te tellen, maar het is 7 tot 8 adressen breed en dan zo'n 2 pagina's op 1600p. 100 regels zijn het sowieso wel en dan kom je al op 700 of meer uit.
Hier precies 999 ontvangers in de mail.
22000 daily users. Per e-mail waren 1000 adressen te zien. Dus ongeveer 22 verschillende mails?

[Reactie gewijzigd door eYaTed op 1 november 2019 18:50]

22000 daily users en misschien wel een miljoen accounts. In iedergeval 22000 gebruikers hebben de mail gehad. De rest is gissen ;)
Ik zie ook 999 andere in de mail. Beetje jammer van Bitmex, een fatsoenlijk mailinglist provider gebruiken is zeker te duur voor die gasten.
Die accepteren waarschijnlijk nog geen Crypto....
Volgens RFC822, hoofdstuk 3.1.1 (http://www.faqs.org/rfcs/rfc822.html) en 3.4.8 moeten lange headers boven de 65 tot 72 karakters worden gesplitst met een newline, bij voorkeur na de "," bij een adresveld. Op deze manier is er geen echte limiet aan het aantal email adressen in de "To:" header, behalve een maximum berichtgrootte.
Misschien toch een idee om een waarschuwing in te programmeren bij gebruik van meer dan 50 adressen in het "aan" veld?
Misschien is het een idee om met een compleet nieuwe mail-standaard te komen die niet zo inherent onveilig is. Het is eigenlijk bizar dat dit zo makkelijk kan gebeuren. Maar dat krijg je als er met bijna 40 jaar oude standaarden werkt.
Precies, het is allang tijd voor een nieuwe versie van het emailprotocol.
Waarom? SMTP doet het nog steeds omdat 'S'. S voor Simple. Wat wel zou mogen is mail clients/MTA's die even verifieren of die distributielijst/bestemmelingen wel in To: of CC: mogen.
Omdat we inmiddels 40 jaar verder zijn en de wereld is veranderd op een manier die destijds niet te voorzien was. SMTP voldoet simpelweg niet meer aan de manier waarop we nu email gebruiken en de veiligheidseisen die we nu noodzakelijkerwijs stellen. Simpel voldoet niet meer.

Verlangen dat de clients dit opvangen is onbegonnen werk: niets verplicht een of andere zolderkamerprogrammeur om zich aan clientstandaarden te houden. Daarom moet je dat in het protocol afdwingen.
Ik vind SMTP juist een erg fijn en overzichtelijk protocol. Makkelijk inzetbaar en te begrijpen.

Het doet gewoon wat er gevraagd word en zo zou het ook moeten zijn, vertel dat het domme dingen moet doen en krijg domme uitkomsten.
En dat is juist één van de redenen dat het niet meer gebruikt moet worden. Er zijn te veel domme mensen die andere mensen ermee in gevaar kunnen brengen. Tijd voor verandering.
Het heeft weinig met de standaard te maken. Soms wil je wel dat mensen elkaars adres kunnen zien.

Maar er zouden wel wat signaleringen mogen zitten in het programma waarmee je de mail verstuurd.
Dit is gewoon dom! Ze hadden gewoon een paar data-typistes in moeten huren die voor iedere klant een brief typten. En dan netjes uitprinten, in een envelop, postzegel erop en versturen. Gaat altijd 100% goed!
Dat leek mij ook. Meer dan vijf, lijkt mij zelfs.

Al zou ik het ook niet gek vinden als je standaard gewoon geen enkel ander adres dan je eigen adres kon zien.
Standaard geen ander adres kunnen zien is ook niet altijd handig. Dan wordt er nog meer doorgestuurd als mensen niet zien wie het allemaal ontvangen heeft. Ik krijg veel te vaak mails doorgestuurd die ik al had omdat ik op BCC stond.
En waarom denken deze mensen dat jij dit ook behoort te weten als de verzender dit niet bedenkt?
Binnen een bedrijf kan je informatie delen, en kan mail een oplossing zijn, maar dan wil je het intern delen. Daar is de contactpersoon voor. En als de afzender je mail niet heeft, is daar een reden voor en kan hij dat vragen lijkt mij...
Ik maak voor een zorgorganisatie gebruik van Labels. Elke e-mail moet worden voorzien van een label
waarvan vaste relaties en interne e-mails een automatische label kunnen krijgen afhankelijk van de inhoud.

Het label bepaald weer tientallen andere regels, maar dit soort lekken kan je hiermee makkelijk voorkomen.
Is dat wat er is gebeurd? In het artikel zie ik dat ze in de aanhef stonden, dus niet in het aan-veld.
"aanhef" in de zin van
To:
CC:
BCC:
Ja 'aanhef' was fout, moest het 'aan'-veld zijn. Is aangepast, thanks!
Ik was pas op vakantie in Denemarken, en ik moest een mailtje versturen naar bestuursleden van een vereniging waar ik lid van ben. Dus ik wou die mail sturen vanop mijn smartphone, via de wifi van de vakantiewoning, naar 15 personen.
Kreeg ik niet weg. Opsplitsen in 2 mailtjes dan maar. Naar 10 ging ook niet. Naar 8 en 7 was geen probleem.
Mailen via 4g naar 15 man was geen probleem.
Om maar aan te geven dat sommige providers in sommige landen dit al doen, en een stuk strenger dan 50.
het was een script, dus waarschijnlijk iets custom geschreven waar ze met zo'n dingen al helemaal geen rekening hebben gehouden als ze niet eens deftig TO, CC en BCC uit elkaar kunnen houden.
Kreeg hem ook. Mega fail van bitmex. Gelukkig gebruik ik een apart wachtwoord die ik alleen daar gebruik en heb ik overal 2fa aanstaan. Maar zag wel aardig wat info waaruit naam en bedrijf staan.
Vervelend, gun ik ze niet. BitMEX is een zeer betrouwbaar platform, in tegenstelling tot veel andere spelers in deze markt.
Ik begrijp domweg niet hoe zoiets knulligs als bulkmailing via een cc nog mogelijk kan zijn.Ik gebruikte in 1997 Mercury Mail van Rob Harris, een mailer waarin je heel simpel een user kon aanmaken die alleen bcc mails kan versturen. Ik zeg het nog een keer: In 1997. Mercury en Pegasus Mail bestaan nog steeds. Mogelijk een oplossing voor oude mannen als ik die een command line niet zo eng vinden, maar het is een systeem dat ook onder MSDOS, Windows98 en Netware prima draait en geen moeite heeft met Windows10.
Ik kan me nauwelijks voorstellen dat er in de hedendaagse mail applicaties geen mogelijk bestaat voor een user de cc uit te schakelen en de bcc als default te installeren.
Hoe werkt het eigenlijk als een buitenlands bedrijf welke ook in Nederland opereert een lek heeft? Moeten die dit dan ook bij de Nederlandse AP melden? En wordt hier ook op gehandhaafd als ze dat niet doen?
Ik heb een BITMEX account krijg nu ''opeens '' alleemaal zwakzinnige standaard spam binnen via mail :).
Is obvious doorverkocht ... maak me geen zorgen

[Reactie gewijzigd door A87 op 2 november 2019 19:08]

BitMEX is helemaal geen flut-exchange. Op deze (fikse) fout na heb ik na jaren intensief gebruik geen enkel probleem gehad, op de performance issues na tijdens hele drukke momenten. Verder niets dan lof.
Dat vraag ik af; Er lijkt nu iemand op twitter te zijn die de database van BitMex claimed te hebben.
https://twitter.com/Bitmexdatabase1 . Maar dit soort fouten zijn zeker niet unique. December vorig jaar exact hetzelfde met btc.com . (custodial wallet).
Wut? Marius is van Deribit gast, niet Bitmex!
Deribit > Bitmex

[Reactie gewijzigd door TenaciousC op 1 november 2019 20:17]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True