Was tun wenn der Private Posting Key ins Netz gelangt? 😮💬

in #steem5 years ago (edited)

Hallo Steemit-Freunde,

gestern ist es passiert, ein Fehler den ich vor langer Zeit gemacht hatte, rächte sich. Jemand mißbrauchte ohne meine ausdrückliche Erlaubnis (von der Steem Blockchain abgesicherte Authority, siehe Liste auf steemd.com/@Nutzername im linken Bereich)

meinen privaten Veröffentlichungs-Schlüssel (private posting key) 🔐 und stimmte mit meiner Steempower von immerhin 0,03$ mit 100% für einen Schrottartikel und das nicht nur einmal, sondern immer wieder. An die 3,000 accounts sollen vom Datenklau 🚨 und der Ablage in einer lokalen Datenbank betroffen sein laut einem Artikel von @themarkymark.

Was kann jemand mit dem privaten Veröffenlichungs-Schlüssel anstellen?

Das Gute zuerst, es kann nicht Eurer wertvolles Steem 💰 an die nächste Börse überweisen oder in einen anderen Account verschieben um sich zu bereichern. Dazu braucht es schon mindestens den privaten aktiven Schlüssel. Der Schaden ist, wenn schnell eingedämmt (s. weiter unten) relativ gering.

Stimmenmißbrauch

Aber es kann sich indirekt bereichern mit dem Mißbrauch Eurer Stimmenkraft (voting power). Je mehr SP (Steem Power) Ihr gebunkert habt, desto wertvoller sind Upvotes von Artikeln, vor allem wenn es volle Stimmen (100%) sind. Im Prinzip nutzen diese Leute Eurer Potenzial (Steem Power) um Geld zu verdienen.

Dreck schreiben

Es könnte auch Mistartikel in meinem Name veröffentlichen, so oft es will, mit egal welchem Inhalt.

Reputationsverlust

Die Folge davon: Die Scammer vermiesen Euch die Reputation, wenn plötzlich Eure Stimme für Schrottartikel abgegeben wird oder ihr sie sogar scheinbar selbst schreibt und das regelmäßig. Mir wäre es evtl. auch gar nicht aufgefallen, wenn mich niemand darauf hingewiesen hätte.. spätestens wenn etwas Seltsames in meinem Blog aufgetaucht wäre. Die kriminelle Energie war zum Glück zu gering, wie es scheint. Genervt hatten diese "Lokführer" schon mit spamming im Kommentarbereich bei mir und ich hatte diese damals freundlich und direkt aufgefordert das zu unterbinden, was tatsächlich auch funktioniert hatte.

Wie ist es überhaupt dazu gekommen?

Vor vielen Monaten startete die Initiative von Steem Engine (das sind die Guten) mit Token und schlauen Verträgen von @aggroed. Ich wollte dabei sein, es ausprobieren und suchte nach der Website. Über Google bin ich auf folgender FALSCHEN Seite gelandet. Ich verlinke diese hier NICHT! FINGER WEG!

(das sind die Bösen!)

In folgenden Fenster wird Euch praktisch der private Schlüssel geklaut, also bitte NICHT NACHMACHEN!

Dank der deutschen Community wurde ich gestern darauf aufmerksam gemacht, das sich hier wer fleißig mit den geklauten Schlüsseln voted.

Wie habe ich reagiert?

🤦.. na klar, Dummheit gehört bestraft! Grundregel Nr. 1 verletzt "Deine Schlüssel, Dein Steem!". Geb ich die Schlüssel meines Hauses, meines Autos Fremden dann muss ich mit dem Schlimmsten rechnen. Zum Glück verwendet Steem eben dieses mehrstufige Schlüsselsystem. Der private Veröffentlichungs-Schlüssel kann eben nur ein paar Türen aufschließen und man kommt nicht gleich in die oberste Etage, Glück im Unglück!


Bild von Markus Christ auf Pixabay

Dann bin ich der Aufforderung von @themarkymark nachgekommen und habe mein Master-Passwort geändert und damit auch alle Schlüssel (posting, active, owner, memo) neu generiert. Ich will hier keine Empfehlung für diese Aktion geben, jeder muss selbst entscheiden was er tut. Seid vorsichtig und sichert das neu erzeugte Passwort sofort! damit Ihr Euch nicht aussperrt!

Kleiner Tipp: Alle Schlüssel (posting, active, owner, memo) werden automatisch neu generiert sobald Ihr Eurer Master-Passwort ändert!

Das wusste ich nicht und hatte erst vergeblich nach Quellen gesucht, wie ich nur den privaten Veröffentlichungs-Schlüssel ändern kann. Das Master-Passwort ändert alle Schlüssel. Sichert das neue erzeugte Master-Passwort sofort, um weiterhin Zugriff auf Euren Account und Eure Schlüssel zu haben!

Tipp: Behaltet unbedingt noch Eure alten Schlüssel!, falls irgendwas schief geht bei der Änderung!

Tipp: Löscht Euren Browser-Cache nach der Änderung um die Passwörter auch wirksam werden zu lassen. Ich hatte den Effekt das mein neues Master-Passwort zwar funktionierte, aber der neue private Veröffentlichungs-Schlüssel nicht, sondern noch der alte, weil im Cache noch vorhanden.

Da das sog. steemengineteam (verwenden eine archaische Dampflok als Logo) nicht offiziell über die Steem blockchain für das Voting authorisiert war bei mir, konnten sie eigentlich nur meinen privaten Schlüssel in irgendeiner lokalen "Excel-Tabelle" abgelegt haben um Unfug zu treiben. Um die Wahl- und Schreibrechte wieder zu entziehen bleibt nur das ändern der Schlüssel (vgl. Schlüsseldienst der aus Sicherheitsgründen alle Schlösser austauschen muss, nur kommt man bei Steem billiger weg 😉).

Was ist das Fazit aus diesem Schlamassel?

Ich werde noch vorsichtiger sein, wem ich meine Schlüssel gebe und vor allem welchen Schlüssel, auf welchen Webseiten, für welche Projekte. Für Neulinge auf Steem deshalb an dieser Stelle auch noch mal folgende Hinweise:

Das Master-Passwort oder der Eigentümer Schlüssel (private owner key) SIND IMMER ABSOLUT PRIVAT! Keiner hat diese jemals zu sehen außer Dir selbst, da man im schlimmsten Fall aus seinem Account ausgesperrt wird, bye bye Steem! Auch beim privaten aktiven Schlüssel (private active key) ist höchste Vorsicht geboten, insbesondere wenn mal viel flüssiges Steem im Account liegen hat, da dieses mit dem Schlüssel direkt an die nächste Börse überwiesen werden kann, bye bye Steem. Wer viel Steem Power (SP) sein eigen nennt kann von einem Powerdown getroffen werden. Dieser dauert aber insgesamt 13 Wochen, genügend Zeit um das Schlimmste zu verhindern.

Folgend das Bild was Ihr auch im Wallet unter Keys & Permissions findet, übersetzt und etwas erweitert für mehr Verständlichkeit aus Nutzersicht:


Was die einzelnen Schlüssel alles können, von links nach rechts die Mächtigkeit

Wie überall im Leben gibt es auch auf dem Steem immer wieder schwarze Schafe, die Leuten in die Tasche greifen. Die dunkle Seite ist immer da, die helle Seite, die Community aber auch, wie ich in diesem Fall wieder gemerkt habe. Deshalb noch mal vielen Dank auch an alle die mich direkt über Discord angeschrieben, gewarnt haben oder mir mit Fragen weiter geholfen haben @twinner @simi @the01crow @themarkymark 👌😌👍. Das ist echt stark, der Steem, die Kryptogemeinde!

Sort:  

Vielen Dank für deinen Beitrag. Er dürfte vielen Steemians hilfreich sein.
!BEER & !trdo

Congratulations @kryptodenno, you are successfuly trended the post that shared by @onetin84!
@onetin84 will receive 0.22676400 TRDO & @kryptodenno will get 0.15117600 TRDO curation in 3 Days from Post Created Date!

"Call TRDO, Your Comment Worth Something!"

To view or trade TRDO go to steem-engine.com
Join TRDO Discord Channel or Join TRDO Web Site

Danke für die Kaltschale! Hoffe ich kann damit vielleicht einigen unnötigen Stress ersparen.

Ich denke den größten Schaden könnten solche Leute mit Downvotes machen - ein, zwei Downvotes in deinem Namen bei bestimmten Walen mit dazu passenden "freundlichen" Kommentaren und du kannst deinen Account in die Tonne treten...

Danke für den ausführlichen Bericht, vor allem auf deutsch kann man nicht oft genug den Erklärbär geben da es ja doch einige gibt deren Englisch bei solch wichtigen Dingen nicht ausreicht.

Daran hatte ich nicht gedacht, das kann sicher böse enden. Hatte sowas in der Art ja erst kürzlich erlebt, downvotes aus dem Nichts. Hab dadurch auch wieder einige Dinge etwas aufgefrischt. Danke!

!COFFEEA

Danke, klasse Info, und vor allem soo fein verständlich.
#HABWASGELERNT.

Danke für das schwarze Gold!

ups, gleich mal checken gehen, hoffen das ich nicht betroffen bin und dann nen !BEER trinken.....

Du bist zum Glück nicht betroffen 😎👍. Bier beruhigt, danke!

Ja, habe auch gleich mal geprüft.
Danke für die Infos....

Danke für deinen Beitrag.........und immer wieder kontrollieren ob nirgends eine Sicherheitslücke ist!

Congratulations @onetin84! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :

You distributed more than 20000 upvotes. Your next target is to reach 21000 upvotes.

You can view your badges on your Steem Board and compare to others on the Steem Ranking
If you no longer want to receive notifications, reply to this comment with the word STOP

Do not miss the last post from @steemitboard:

SteemFest⁴ - Meet the Steemians Contest
Vote for @Steemitboard as a witness to get one more award and increased upvotes!

coffeea Lucky you @onetin84 here is your COFFEEA, view all your tokens at steem-engine.com Vote for c0ff33a as Witness

Hi, @onetin84!

You just got a 2.13% upvote from SteemPlus!
To get higher upvotes, earn more SteemPlus Points (SPP). On your Steemit wallet, check your SPP balance and click on "How to earn SPP?" to find out all the ways to earn.
If you're not using SteemPlus yet, please check our last posts in here to see the many ways in which SteemPlus can improve your Steem experience on Steemit and Busy.

coffeea Lucky you @onetin84 here is your COFFEEA, view all your tokens at steem-engine.com Vote for c0ff33a as Witness

Coin Marketplace

STEEM 0.21
TRX 0.20
JST 0.034
BTC 98163.99
ETH 3354.48
USDT 1.00
SBD 3.02