Nicht immer steht hinter einem Datenleak ein böswilliger Akteur. Manchmal ist es auch reine Nachlässigkeit, die vertrauliche Daten in unbefugte Hände sickern lässt. Genau das ist offenbar der Handelsplattform BitMEX passiert. Am 1. November hat das Unternehmen per Blog-Eintrag seine Kunden über eine miussglückte Massen-E-Mail informiert:
Wir sind uns bewusst, dass einige unserer Benutzer heute früh eine allgemeine E-Mail mit einem Benutzer-Update erhalten haben, die die E-Mail-Adressen anderer Benutzer enthält. Unser Team hat sofort gehandelt, um das Problem einzudämmen, und wir unternehmen Schritte, um das Ausmaß der Auswirkungen zu verstehen.
BitMEX betreibe derzeit Ursachenforschung und versucht, das Ausmaß des Leaks festzustellen, heißt es auf dem Blog weiter:
Seien Sie versichert, dass wir alles in unserer Macht Stehende tun, um die Ursache des Fehlers zu ermitteln, und wir werden mit allen von dem Problem betroffenen Benutzern in Kontakt bleiben.
Da die betroffene E-Mail nicht sofort an alle Nutzer ging, deutet darauf hin, dass BitMEX die Mails in Chargen verschicken wollte. Das Team hat offenbar die Reißleine gezogen, bevor weitere E-Mails versendet wurden. Das Kind ist jedoch bereits in den Brunnen gefallen.
Binance mahnt BitMEX-Kunden zur Adressänderung
Anscheinend hat BitMEX die E-Mail-Adressen der Kunden in den CC gesetzt. Darauf deutet ein Screenshot hin, den ein Kunde auf der Twitter-Präsenz von BitMEX gepostet hat:
https://twitter.com/btcmerlin1/status/1190212293889609729
Unterdessen hat auch die Bitcoin-Börse Binance vom Fauxpas der Derivate-Plattform erfahren und eine Warnung an das eigene Klientel veröffentlicht:
Wir sind uns eines groß angelegten E-Mail-Lecks von Benutzern aus einer anderen Börse bewusst. Wenn Sie einer der betroffenen Benutzer sind und auch ein Binance-Konto unter der gleichen E-Mail-Adresse haben, empfehlen wir Ihnen, Ihre E-Mail-Adresse sofort […] zu ändern:
⚠️We are aware of a large-scale user email leak from another exchange.⚠️
If you are one of the affected users and you also have a Binance account under the same email address, we recommend changing your email immediately using the below steps:https://t.co/sgEr5sqleg
— Binance (@binance) November 1, 2019
BitMEX-Kunden haben keine Möglichkeit, die E-Mail-Adresse ihres Accounts zu ändern. Das entsprechende Feld in den Kontoeinstellungen ist ausgegraut.
Unterdessen konnte es auch der Binance-Chef persönlich nicht lassen, auf das Datenleck bei der Konkurrenz hinzuweisen:
Verwendet für jede Exchange eine eindeutige E-Mail-Adresse und ein eindeutiges Passwort. Benutzt einen Passwortmanager, der sich die sicheren Passwörter für euch merkt,
mahnt CZ Zhao in einem Retweet der Binance-Meldung. Binance ist selbst ein gebranntes Kind, wenn es um geleakte Kundendaten geht.
Offenbar auch Passwörter betroffen
Mittlerweile hat BitMEX den Fehler gefunden, jedoch nicht näher genannt. In einem Update zum ersten Blog-Eintrag schreibt die Handelsplattform:
Seien Sie versichert, dass in diesem Fall über die E-Mail-Adressen hinaus keine weiteren personenbezogenen Daten oder Kontoinformationen weitergegeben und keine weiteren E-Mails versendet wurden. Der Fehler, der dies verursacht hat, wurde identifiziert und behoben, um sicherzustellen, dass unsere üblichen hohen Datenschutzstandards eingehalten werden.
Ein Posting eines Twitter-Nutzers widerspricht jedoch der Aussage, dass keine weiteren Daten betroffen seien.
Ich habe also eine kurze Suche nach den BitMEX-E-Mails auf einer meiner Datenbanken durchgeführt und habe einige Treffer erhalten (“Klartext-Passwörter”). Denkt ihr, dass ich die Leute, für die ich Passwörter gefunden habe, per E-Mail informieren sollte?
So i ran a quick search on the bitmex emails on 1 of my databases and ive gotten quite a few hits( cleartext passwords)
Do you guys think i should email the ppl i found passwords for?
Cc: @inversebrah pic.twitter.com/xK682wWOnO
— TheMask (@TheCrypt0Mask) November 1, 2019
Schreibt der User @TheCrypt0Mask. Und postet zwei Stunden später sein Endergebnis:
Suche abgeschlossen. Gesamtzahl der gefundenen Mails+Pass: 229
Ich werde mir jetzt einen Kaffee besorgen und damit beginnen, eine personalisierte Massen-E-Mail an jeden, dessen Passwort geleakt wurde, zu versenden. Die geleakten Passwörter, die ich gefunden habe, werden in der Mail für jeden einzelnen von euch enthalten sein.
BitMEX Twitter Account gehackt?
Als wäre das noch nicht genug, fiel anscheinend auch der Twitter Account von BitMEX einem Hack zum Opfer. In einem mittlerweile gelöschten Post wurden Nutzer dazu angehalten, ihre „BTC in die Hand zu nehmen und zu rennen“:
https://twitter.com/CryptoDeleted/status/1190251809778081792
Dass ein Hacker hinter der Botschaft steckte, deutet ein weiterer, ebenfalls gelöschter Tweet an:
https://twitter.com/CryptoDeleted/status/1190251794443776002
Mittlerweile scheint BitMEX wieder die Kontrolle über den Account zu haben.