Hallo zusammen, ich habe gerade von Bitcoin.de folgende Mail erhalten: “Guten Tag XYZ
wir möchten Sie heute vorsorglich über einen Sicherheitsvorfall bei einem externen Dienstleister informieren, der im Bereich Tax Reporting tätig ist.
Im Rahmen dieses Vorfalls kam es zu einem Datenabfluss auf Seiten des betroffenen Anbieters.
Dieser Anbieter verwendet API-Keys, die lesenden Zugriff auf Ihr Wallet ermöglichen.
Sie erhalten diese Nachricht, da mindestens einer Ihrer API-Keys betroffen ist. Der entsprechende Key wurde von uns bereits deaktiviert.
Wichtig: Es fand kein Transfer Ihrer Assets statt. Die Plattform Bitcoin.de ist nicht kompromittiert worden, sodass ein solcher Abfluss auch gar nicht möglich gewesen wäre.
Wir empfehlen Ihnen, den betroffenen API-Key vollständig zu löschen. Grundsätzlich raten wir immer dazu, externen Anbietern ausschließlich API-Keys mit Leserechten zur Verfügung zu stellen.
Diese Information erfolgt im Sinne größtmöglicher Transparenz. Bei Fragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.
gestern habe ich schon eine Mail erhalten, welche mich informierte dass mein API key nach langer Zeit wieder verwendet wurde. ich habe diesen API-Key nur bei Cointracking hinterlegt und sonst nirgends. Hat sonst noch jemand von Euch solche Mails von Bitcoin.de erhalten oder irgend etwas über einen möglichen Vorfall bei Cointracking gehört?
Jupp, same here.
Hatte einen API-Key bei bitcoin.de um meine Transaktionen bei CoinTracking zu tracken.
Hatte den Key über ein Jahr nicht genutzt.
Finde es klasse, wie transparent und schnell bitcoin.de mit dem Thema umgegangen ist.
Von CoinTracking habe ich bislang keine Nachricht über den Vorfall erhalten.
wäre echt wichtig zu wissen, welche Daten bei Cointracking abgeflossen sind (wenn es wirklich Cointracking ist, was jetzt durch Deine Antwort aber etwas erhärtet wird), wenn das auch Adressdaten usw. sind wird’s richtig kritisch
API-Key ist schon schlimm genug.Nach meiner Erinnerung lässt bitcoin.de ohnehin nur lesende Keys zu, aber alleine die Möglichkeit, deine Bestände, deine Historie auslesen zu können , die mit dir zu verknüpfen, kann traumatisch enden!
Bei mir das gleiche. Die API wurde auch nur für Cointracking verwendet. Schon blöd, dass von deren Seite keine Information kommt, welche Daten alle abhanden gekommen sein könnten. Bei Cointracking sind bei mir auch keine APIs mehr gespeichert. Bin mir jedoch nicht sicher, ob ich dort nur bitcoin.de mittels API verbunden hatte.
Edit: Ich habe gerade nochmal geguckt. Ich hatte ursprünglich auch noch 2 andere Börsen mittels API bei Cointracking verbunden. Die Einträge sind aber ebenfalls weg. Also muss irgendwo bei Cointracking der Fehler liegen.
Na, dann hätte sich mein sehr ungutes Gefühl und meine schlechten Eindrücke hinsichtlich Cointracking ja bewahrheitet! Ich bevorzuge ja Blockpit und hoffe inständig, dass die dort wissen, was sie tun…
Hallo,
mehrere Kunden haben sich bei Bitcoin.de gemeldet, nachdem sie eine Nachricht über die missbräuchliche Verwendung ihrer API-Keys erhalten haben. Bitcoin.de hat uns bestätigt, dass es bei einigen API-Keys zu Versuchen unautorisierter Withdrawals kam – bei keinem der betroffenen Nutzer wurde jedoch tatsächlich Geld abgezogen.
Ergebnisse unserer Untersuchung: Bitcoin.de hat uns die Liste der betroffenen API-Keys inklusive der von Nutzern vergebenen Tags/Kommentare zur Verfügung gestellt. Aus diesen Tags geht hervor, dass die Keys unter anderem für CoinTracking, Koinly und CoinTracker genutzt wurden.
Nach Abgleich mit unserer Datenbank haben wir festgestellt:
2.123 von 2.846 Keys (75 %) waren in unserem System hinterlegt
723 Keys (25 %) waren nicht bei CoinTracking registriert
Etliche weitere Keys die in CoinTracking hinterlegt sind, waren nicht betroffen
Wir untersuchen weiterhin unsere Systeme und stehen in engem Austausch mit Bitcoin.de, um den Ursprung des Vorfalls zu klären.
Es wurden keine unauthorisierten Zugriffe festgestellt.
Unsere Empfehlung:
Aus Sicherheitsgründen sollten alle Nutzer ihre API-Keys auf Bitcoin.de löschen und neu erstellen – insbesondere, wenn diese Keys auch auf anderen Plattformen verwendet wurden.
Falsch konfigurierte API Keys können zum Verlust aller Coins und Gelder bei einer Börse führen. Bitte beachte die folgenden Punkte und behandle API Keys sehr vorsichtig, genau wie Passwörter.
Weise beim Erstellen eines neuen API Keys immer nur die erforderlichen Berechtigungen zu.
CoinTracking benötigt nur Keys mit Leseberechtigung
Stelle sicher, dass dein Key keine Trade- oder Auszahlungsberechtigungen hat
Verwende einen API Key nur mit einem einzigen Dienst (z.B. CoinTracking). Die Verwendung des selben Keys bei mehreren Diensten führt zu Fehlern.
Alle bei CoinTracking gespeicherten API Secrets sind verschlüsselt und können von unseren Mitarbeitern nicht eingesehen oder entschlüsselt werden. Wir werden dich niemals nach Keys mit anderen Berechtigungen als „read-only“ fragen.
Einige Börsen erlauben ein Whitelisting von IPs. Dies erhöht die Sicherheit des Keys. Du findest von CoinTracking verwendete IPs hier.
Überprüfe alle API Berechtigungen und ändere deine Keys in regelmäßigen Abständen, genau wie deine Passwörter
Notiere keine API Keys oder Secrets lokal auf deinem Computer oder in der Cloud
Wenn dein Browser automatisch Formulardaten und Passwörter speichert, stelle sicher, dass deine API Secrets nicht gespeichert werden
Teile niemals Keys mit Diensten, denen du nicht vertraust
Einige wenige Börsen haben keine API Berechtigungen und erlauben Vollzugriff auf alle Aktionen. Vermeide solche unsicheren Börsen und wechsle zu vertrauenswürdigen Börsen.
