BitMEX: E-Mail-Adressen und Passwörter von Kunden geleakt

Die Krypto-Derivateplattform BitMEX hat offenbar aus Unachtsamkeit die E-Mail-Adressen zahlreicher Kunden geleakt. Derzeit versucht BitMEX den Schaden abzuschätzen. Die Bitcoin-Börse Binance warnt unterdessen seine Nutzer davor, dieselbe E-Mail-Adresse für unterschiedliche Exchanges zu benutzen. Mittlerweile wurde bekannt, dass auch Passwörter zu den geleakten Daten zählen könnten. Darüber hinaus sorgte ein Hack des Twitter Accounts von BitMEX für zusätzlichen FUD.

Christopher Klee
Teilen
Smartphone mit App von BitMEX vor Desktop-Hintergrund mit Chart.

Beitragsbild: Shutterstock

Nicht immer steht hinter einem Datenleak ein böswilliger Akteur. Manchmal ist es auch reine Nachlässigkeit, die vertrauliche Daten in unbefugte Hände sickern lässt. Genau das ist offenbar der Handelsplattform BitMEX passiert. Am 1. November hat das Unternehmen per Blog-Eintrag seine Kunden über eine miussglückte Massen-E-Mail informiert:

Wir sind uns bewusst, dass einige unserer Benutzer heute früh eine allgemeine E-Mail mit einem Benutzer-Update erhalten haben, die die E-Mail-Adressen anderer Benutzer enthält. Unser Team hat sofort gehandelt, um das Problem einzudämmen, und wir unternehmen Schritte, um das Ausmaß der Auswirkungen zu verstehen.

BitMEX betreibe derzeit Ursachenforschung und versucht, das Ausmaß des Leaks festzustellen, heißt es auf dem Blog weiter:

Seien Sie versichert, dass wir alles in unserer Macht Stehende tun, um die Ursache des Fehlers zu ermitteln, und wir werden mit allen von dem Problem betroffenen Benutzern in Kontakt bleiben.

Da die betroffene E-Mail nicht sofort an alle Nutzer ging, deutet darauf hin, dass BitMEX die Mails in Chargen verschicken wollte. Das Team hat offenbar die Reißleine gezogen, bevor weitere E-Mails versendet wurden. Das Kind ist jedoch bereits in den Brunnen gefallen.

Binance mahnt BitMEX-Kunden zur Adressänderung

Anscheinend hat BitMEX die E-Mail-Adressen der Kunden in den CC gesetzt. Darauf deutet ein Screenshot hin, den ein Kunde auf der Twitter-Präsenz von BitMEX gepostet hat:

https://twitter.com/btcmerlin1/status/1190212293889609729

Unterdessen hat auch die Bitcoin-Börse Binance vom Fauxpas der Derivate-Plattform erfahren und eine Warnung an das eigene Klientel veröffentlicht:

Wir sind uns eines groß angelegten E-Mail-Lecks von Benutzern aus einer anderen Börse bewusst. Wenn Sie einer der betroffenen Benutzer sind und auch ein Binance-Konto unter der gleichen E-Mail-Adresse haben, empfehlen wir Ihnen, Ihre E-Mail-Adresse sofort […] zu ändern:

BitMEX-Kunden haben keine Möglichkeit, die E-Mail-Adresse ihres Accounts zu ändern. Das entsprechende Feld in den Kontoeinstellungen ist ausgegraut.

Ausgegrautes E-Mail-Feld in den Kontoeinstellungen von BitMEX

Unterdessen konnte es auch der Binance-Chef persönlich nicht lassen, auf das Datenleck bei der Konkurrenz hinzuweisen:

Verwendet für jede Exchange eine eindeutige E-Mail-Adresse und ein eindeutiges Passwort. Benutzt einen Passwortmanager, der sich die sicheren Passwörter für euch merkt,

mahnt CZ Zhao in einem Retweet der Binance-Meldung. Binance ist selbst ein gebranntes Kind, wenn es um geleakte Kundendaten geht.

Offenbar auch Passwörter betroffen

Mittlerweile hat BitMEX den Fehler gefunden, jedoch nicht näher genannt. In einem Update zum ersten Blog-Eintrag schreibt die Handelsplattform:

Seien Sie versichert, dass in diesem Fall über die E-Mail-Adressen hinaus keine weiteren personenbezogenen Daten oder Kontoinformationen weitergegeben und keine weiteren E-Mails versendet wurden. Der Fehler, der dies verursacht hat, wurde identifiziert und behoben, um sicherzustellen, dass unsere üblichen hohen Datenschutzstandards eingehalten werden.

Ein Posting eines Twitter-Nutzers widerspricht jedoch der Aussage, dass keine weiteren Daten betroffen seien.

Ich habe also eine kurze Suche nach den BitMEX-E-Mails auf einer meiner Datenbanken durchgeführt und habe einige Treffer erhalten (“Klartext-Passwörter”). Denkt ihr, dass ich die Leute, für die ich Passwörter gefunden habe, per E-Mail informieren sollte?

Schreibt der User @TheCrypt0Mask. Und postet zwei Stunden später sein Endergebnis:

Suche abgeschlossen. Gesamtzahl der gefundenen Mails+Pass: 229

Ich werde mir jetzt einen Kaffee besorgen und damit beginnen, eine personalisierte Massen-E-Mail an jeden, dessen Passwort geleakt wurde, zu versenden. Die geleakten Passwörter, die ich gefunden habe, werden in der Mail für jeden einzelnen von euch enthalten sein.

BitMEX Twitter Account gehackt?

Als wäre das noch nicht genug, fiel anscheinend auch der Twitter Account von BitMEX einem Hack zum Opfer. In einem mittlerweile gelöschten Post wurden Nutzer dazu angehalten, ihre „BTC in die Hand zu nehmen und zu rennen“:

https://twitter.com/CryptoDeleted/status/1190251809778081792

Dass ein Hacker hinter der Botschaft steckte, deutet ein weiterer, ebenfalls gelöschter Tweet an:

https://twitter.com/CryptoDeleted/status/1190251794443776002

Mittlerweile scheint BitMEX wieder die Kontrolle über den Account zu haben.

Du willst Ethereum Classic (ETC) kaufen oder verkaufen?
Wir zeigen dir in unserem Leitfaden, wie und wo du einfach und seriös echte Ethereum Classic (ETC) kaufen kannst.
Ethereum Classic kaufen