Man-in-the-Middle (MITM) beim BitBox, Trezor, Ledger & Co. Webshop! Was tun?

Hallo Leute!

Hier wurde dieses Problem bereits ein bisschen andiskutiert:

Es ist nicht leicht zu lösen, deswegen erstelle ich hier ein neues Thema.

Was ist das Problem?
BitBox, Trezor, Ledger & Co. verwenden bei ihren Webshops Cloudflare. Ihr könnt es mit https://checkforcloudflare.selesti.com/ selbst überprüfen. Das sieht heute am 11. April 2025 so aus:

Bildschirmfoto vom 2025-04-11 BitBox674×559 31.1 KB

Bildschirmfoto vom 2025-04-11 Trezor674×559 29.5 KB

Oder auch hier die aktuellen DNS Einstellungen mit denen Cloudflare aktiviert wird, leicht überprüfbar mit nur einem Klick:
BitBox, Trezor, Ledger

Cloudflare ist ein CDN und wird hauptsächlich für den DDoS-Schutz verwendet. Da SSL/TLS/HTTPS keine Ende-zu-Ende-Verschlüsselung unterstützt bricht Cloudflare diese Verschlüsselung auf um technisch als CDN/Proxy zu funktionieren. Diese Vorgehensweise ist technisch einem Man-in-the-Middle-Angriff sehr ähnlich, nur mit dem Unterschied, dass es vom Webserver-Administrator selbst aktiviert wird in der Hoffnung DDoS-Angriffe zu entgehen. Viele Fachbegriffe, deswegen hier eine einfache Übersicht:

cloudflare_unverschl781×312 23.9 KB

Erschwerend kommt hinzu, dass der Marktanteil von Cloudflare beständig am wachsen ist.

!!! Ca. 25% der Webserver benutzen Reverse-Proxy-Dienste, davon hat Cloudflare einen Marktanteil von ca. 19,7% !!!

Bildschirmfoto vom 2025-04-11 Marktanteil Cloudflare460×734 40.5 KB

Quelle: Nutzungsstatistiken und Marktanteile von Reverse-Proxy-Diensten.

Die Summe mit weiteren Zentralisierungstendenzen wie zB. zu Github (Microsoft) für Installations-Dateien-Verteilung, oder Gmail (Google) für Transaktionsmails, etc. sind ein weiteres Problem. Kritiker sprechen deswegen von einer Zentralisierung des Internets. Das ist vielleicht bei kleinen Blogs nicht so eine große Sache, aber bei Bitcoin Hardware Wallet Herstellern schon. Immer mehr zentralisieren sich diese dritte Parteien in die Bestell- und Lieferkette der Hardware Wallets. Immer mehr zentralisieren sich diese dritte Parteien in die Verteilung der Begleit-Apps und der Verteilung von Firmware und erhöhen somit das Risiko irgendwann mal eine manipulierte Wallet zu haben.

Zentralisierte Dienste sind nicht die Lösungen, sondern ein immer grösser werdendes Sicherheits- und Datenschutz-Problem.

Deswegen appelliere ich an euch diesen dezentralen Bitcoin Grundgedanken auch bei den Bitcoin Hardware Wallet Hersteller wieder einzufordern.

Also wenn Ihr Ideen habt welche zuverlässigen dezentralen Lösungen Cloudflare, Github, Gmail, etc. ersetzen könnten, bitte her damit. Danke!

Ein spannendes Thema, bzw. spannender Ansatz, wo doch andererseits die totale Paranoia wegen Seedsicherung u.a. an den Tag gelegt wird! Da stanzen Leute sich ihre Seeds in teure Metallhülsen oder mieten sich Schließfächer - und sind sich gar nicht bewusst, dass bei internetbasierten Diensten die Gefahr von ganz woanders droht!

Nicht umsonst verwende ich weder Google, noch Apple oder Microsoft. Aber die Problematik mit Cloudflare hatte ich so nicht auf dem Schirm!

Auch bei den Steel Wallet verkäufern dasselbe Problem..

Tatsächlich wird Cloudflare vom BSI als „Qualifizierter DDoS-Mitigation
Dienstleister“ gelistet. IT-Professor Mauthe gibt auch ein wenig Entwarnung: 2„Für die Absicherung über einen Cloud-Dienst ist es nicht zwingend notwendig, dass der gesamten Traffic — also auch verschlüsselte Bereiche — vom Cloud-Dienst ausgelesen werden müssen. Es gibt Möglichkeiten, DDoS-Attacken auf andere Art zu identifizieren, schließlich kann man bereits an der Art der plötzlichen Anfragen erkennen, womit man es zu tun hat“, erklärt er.

Einsicht von Cloud-Diensten in verschlüsselte Bereiche „mit der DSGVO schwer zu vereinbaren“

Gleichzeitig warnt er: „Sollten Cloud-Betreiber für ihre Arbeit Einblick in geschützte Bereiche und sensible Daten erhalten, wäre das vermutlich mit der DSGVO schwer zu vereinbaren. Es müsste klare Abmachungen und Grenzen in der Zusammenarbeit geben.“ Ziel der Zusammenarbeit ist dabei den Service im Fall einer Attacke aufrechtzuerhalten

Same here.
Ich hab mir nur für Crypto ein gebrauchtes Thinkpad X260 gekauft, die gibt’s für unter 100€. Darauf ist ein minimales Linux nur mit relevanten HW Wallet apps und einem unmodifizierten Browser nur für den Zugang zu meinen Exchanges konfiguriert. Alles läuft über Mullvad VPN und mit einer lokalen BTC node.
Ich würde für Crypto-TXs nie die Exposure haben wollen, die ich mit meinen Alltagsrechnern oder Smartphones habe, GrapheneOS included.

Zumindest könnten sich Leute mit X86 Rechnern für Crypto eine Partition mit einem schlanken Linux anlegen. Dafür braucht man nicht mehr als 10GB.

Ich persönlich wüsste ansonsten auch nicht, warum ich eine BitBox, Ledger, usw. App auf einem Handy haben muss.

Bei der BitBoxApp soll ja irgendwann mal vielleicht die Bezahlfunktion über Lightning kommen, dann machts zB Sinn.

Manche sind auch der Meinung, dass Android sicherer ist als Linux. Siehe zB Systemd Kritik bei Linux.

Außerdem war der „Mann in der Mitte“ also Cloudflare auch hier im Forum und zwar über ein Monat lang vom 2024-12-16 bis 2025-01-18. Gefunden bei SecurityTrails:

Bildschirmfoto vom 2025-04-12 blocktrainer forum1779×936 113 KB

Aber spinnt diese Erkenntnis mal weiter, 19,7% aller Webserver leaken alles was Ihr in den Browser eingebt an die NSA

Das ist eine interessante Ansicht! Ich mache mal ein Bildschirmfoto von der Datenschutz Seite von BitBox:

Bildschirmfoto vom 2025-04-12 bitbox privacy1137×881 70.9 KB

1. Oha, etwas alt vom 18. Aug. 2022 und nur auf englisch. Hier auch der Link vom Web-Archiv.
2. „We collect as little personally identifiable information as possible and remove it from our systems when it is no longer needed.“
   BitBox entfernt Daten wenn sie nicht länger benötigt werden. Das hat mir @Stadicus auch hier bestätigt. Ich glaub Stadicus das auch, nur wird das die NSA nicht interessieren.
3. „We exclusively process your personal data for internal purposes and will never sell, rent, or lease it to any third parties.“ BitBox verkauft die Daten nicht sondern tauscht sie „nur“ gegen einen „kostenlosen“ DDoS-Schutz!
4. „backend servers“…„learn“…„Your receiving and change addresses up to the „gap“ limits (e.g., all used addresses plus the next 20 unused addresses)“. Also BitBox Server lernen so den Gesamtkontostand?
5. „For marketing emails, we use Sendinblue as an external mail service provider…“. Nur so nebenbei, wenn man hier auf der Webseite den Newsletter abonniert geht eure E-Mail auch an die NSA! „The data is hosted within the European Union…“. Ist auch schon egal.
6. „Support emails are received and sent through third-party email servers. We delete incoming emails as soon as they’ve been fetched by the support application, and persistent storage is completely disabled for outgoing emails.“ Das BigData Google’s Gmail auch sofort löscht bezweifle ich.
7. Das Cloudflare oder irgend ein anderer Reverse-Proxy-Dienst benutzt wird, wird nicht erwähnt!

Cloudflare ist bei bitbox.swiss seid 24. Nov. 2022 aktiviert:

Bildschirmfoto vom 2025-04-12 bitbox.swiss1748×908 137 KB

Cloudflare ist bei shop.bitbox.swiss seid 08. Juli 2024 aktiviert:

Bildschirmfoto vom 2025-04-12 shop.bitbox.swiss1748×908 124 KB

Alle Bestelldaten gehen seid dem auch zur NSA! Zur Erinnerung, die Datenschutz Erklärung ist vom 18. Aug. 2022 und wurde nach dem Aktivieren von Cloudflare nicht mehr aktualisiert.

Dieser Artikel ist auch noch interessant:

Zitat:
„Damit ist eine DSGVO-konforme Nutzung des Cloudflare CDN aus meiner Sicht nicht möglich.“

„Cloudflare ist ein amerikanisches Unternehmen, auf dessen Daten amerikanische Geheimdienste Zugriff haben können.“

„Fazit:
So groß der Nutzen von Cloudflare für manche auch sein mag, der Dienst darf erst nach Einwilligung eingesetzt werden. Zudem stellt sich die Frage, ob eine rechtskonforme Einwilligung eingeholt werden kann, weil die Informationspflichten aus Art. 13 DSGVO hier nur schwierig oder eventuell auch gar nicht zu erfüllen sind.“

Für mich ist das ein handfester Skandal und der Beleg dafür, dass Bitcoiner sich in einer falschen Sicherheit wiegen, wenn sie meinen, mit in Metall gestanzter Seed im Schließfach alles getan zu haben. Oder P2P-nonKYC-Anhänger, die glauben mit Bisq und Bitbox auf der sicheren Seite zu sein.

Für meine Strategie - Abstand nehmen von der rigorosen Selbstverwahrung - ist es ein Pluspunkt mehr.

Selbstverwahrung ist schon OK, aber ich stelle echt die Loyalität zur Kundschaft bei den kommerziellen Hardware Wallet Hersteller in Frage! BitBox ist nur ein Beispiel und die Spitze des Eisbergs einer gesamten Industrie.

Als technisch Unbedarfter:

Welche Alternativen gibt es? SeedSigner?

Ja klar… die Vergangenheit hat ja gezeigt, dass zentralisierte Dienstleister wie Cloudfare schon immer für mehr verlorene Coins verantwortlich waren, als zentralisierte Börsen, die gehackt wurden oder schlimmer noch, einfach von Grund auf schon Betrug waren. Deine Argumentation ist hier, wie schon so oft, wirklich lückenlos und überhaupt nicht total an der Realität vorbei.

(#sarcasm)

Mindestanforderung ist eine reproduzierbare Firmware und alle 12 Tests bestanden:

SeedSigner hat halt kein Secure Element dadurch gewisse Nachteile in der Handhabung.

Danke für deinen Beitrag, das Thema ist relevant und wir nehmen es ernst.

Cloudflare setzen wir ein, um unseren Shop trotz wiederholter und langfristiger DDoS-Angriffe zuverlässig verfügbar zu halten. Wir prüfen aber, wie wir diesen Einsatz künftig datenschutzfreundlicher und transparenter gestalten können. Ich habe dazu heute mehrere Issues erstellt, die nächste Woche im Infrastruktur- und Operations-Team besprochen werden.

Unsere Infrastruktur ist insgesamt deutlich unabhängiger und datensparsamer als im klassischen E-Commerce. Alles Wichtige hosten wir selbst, inklusive Webshop und Support. Datenschutz ist für uns kein formaler Haken auf einer Policy-Seite, sondern ein gelebter Wert. Was zählt, ist, wie wir diese Prinzipien im Alltag umsetzen, und da gehen wir bewusst die Extrameile. Die offizielle Privacy Policy sollte natürlich trotzdem aktuell, komplett und verständlich sein, das bessern wir nach.

Wichtig: Diese Diskussion betrifft ausschliesslich unseren Webauftritt und hat keinerlei Einfluss auf die Sicherheit oder den Betrieb der BitBox02 selbst. Die Hardware-Wallet funktioniert vollständig eigenständig, auch mit der Option, deinen eigenen Bitcoin Full Node zu verbinden oder Tor zu verwenden. Auch der Bestellprozess achtet bereits heute auf Datenschutz, zum Beispiel durch automatische Anonymisierung nach 30 Tagen, kann aber natürlich stetig weiter verbessert werden.

Wir wünschen uns eine sachliche Diskussion auf Augenhöhe. Den alarmistischen Ton, der stellenweise mitschwingt, halte ich nicht für zielführend, gerade weil wir offen für fundierte Kritik und stetige Verbesserung sind.

Und vor allem ist das Schlimmste was man machen kann, den Seedsigner fertig zusammengebaut kaufen. Damit führt man das komplette Sicherheitskonzept des Seedsigners ad absurdum.

Wirklich nur für Leute geeignet, die wissen was sie tun…

Übrigens, weil es in diesem Kontext vielleicht interessant ist und du es ja auch erwähnt hast: Auch das Blocktrainer Forum war Ende letzten Jahres von mehreren DDoS-Angriffen betroffen und lief daher ein paar Monate hinter der Cloudflare Proxy. Weil du es im anderen Thread angeschnitten hattest: Der Eigenschutz unseres damaligen Hosters (netcup) hat überhaupt nicht gegriffen.

Die Proxy ist aktuell deaktiviert und kann zwar theoretisch jederzeit aktiviert werden, nur ist deine Aussage hier auch etwas vereinfacht:

Erstmal muss überhaupt jemand innerhalb von Minuten anwesend sein. (Hier im Forum war der letzte Angriff am 25. Dezember… ) Zweitens bringt die Aktivierung bei einem bereits laufenden Angriff erstmal gar nichts, da der Origin-Server eine neue IP-Adresse braucht. Mindestens das sorgt i.d.R. also erstmal für Downtime. Drittens braucht es bei vielen Anwendungen (z.B. auch unserer Foren-Software hier) zusätzliche Konfigurationen, damit hinter der Proxy alles reibungslos weiterlaufen kann.

Wenn man sich wirklich zuverlässig schützen möchte, funktioniert dieser „Backup-Ansatz“ also nur, wenn man es in irgendeiner Form automatisiert. Downtime in einem Community-Forum ist aber auch nicht so tragisch (von meinem Puls mal abgesehen).

Vielleicht findet sich jemand, der ein qualitativ bestechendes Schreiben an die Datenschutzbeauftragten der Firmen, Datenschützer von Bund und Länder und ans BSI zu verfassen. Darüber hinaus ist es eigentlich auch ein Thema für die EU.
Evtl auch in einer Form wie eine Petition, an der sich viele beteiligen können.
Evtl. auch an den österreichischen Datenschutzaktivisten Max Schrems.

So wie es da beschrieben ist, fühlt sich die Mehrheit in Sicherheit und wird dabei verschaukelt.

Cloudflare wird zunehmend auch bei Finanzdienstleistern, wie z.B. auch der Stuttgarter Börse - BSDEX, da auch noch fehlerhaft - eingesetzt.

Augenhöhe klingt gut. Ich möchte auch klar stellen, dass es mir nicht um BitBox Bashing geht. Ganz im Gegenteil, die BitBox02 ist sogar meine Lieblings-Wallet grundsätzlich. Und du Stadicus bist mir als Mensch auch sehr sympathisch. Trotzdem soll auch jeder hier verstehen wie ernst die Lage ist, es geht um die Verwahrung von Milliarden, und die Verletzung unserer Rechte auf Privatsphäre kann nicht mehr weiter geduldet werden. Deswegen bin ich hier auch so detailliert, und in einfacher Sprache formuliert, für den berufstätigen Normalsterblichen zum nachvollziehen, um was es hier eigentlich geht. Das endlich ein breiteres Problembewusstsein entsteht was Cloudflare & Co. für Schaden verursacht. Es kann nicht mehr so weiter gehen wie bisher, kämpft für eure Rechte!

Aber bitte immer auf Augenhöhe, und lasst uns gemeinsam Lösungen finden um Bitcoin nicht nur sicherer sondern auch privater machen.

Ja exakt, alles gut. Kann ich nachvollziehen, vor vielen Jahren hab ich auch unter DDoS-Attacken gelitten.

Ich versuche so einfach wie möglich komplexe Dinge zu erklären. Eingangs habe ich auch erwähnt, dass es nicht einfach zu lösen ist. Ich bin selbst Webserver-Admin aber bin nicht mehr am aktuellen Stand was derzeit DDoS-Abwehr betrifft weil meine Server bei Netcup zuverlässig laufen. Mein Ziel mit dieser Diskussion hier ist auch eine datenschutzfreundliche Lösung für Stadicus zu finden, damit er Cloudflare nicht mehr benötigt. Hast du zufällig eine Idee?

Keiner dieser Geräte kann den Seed deiner Hardware Wallet stehlen.
Und um die Public Keys zu haben ist ein GrapheneOS auf jeden ausreichend sicher, zumindest solange du kein High Value Target bist oder extrem fahrlässig irgendeine App installierst, dich durch 3 Warnungen klickst und ihr Admin Zugriff gibst oder dein Gerät jaibreakst.

Ich verstehe Deine Frage nicht?

Aber dann die Coinsbei der Börse liegen lassen?