und ich weiß nicht wie das passieren konnte, auch weiß ich nicht, wie lange das schon so läuft.
Screenshot:
Wenn man sich oben gezeigten Kommentar anschaut, kann man schon erkennen, dass da jemand anderes gepostet hat.
Die ersten beiden Zeilen ergeben ja noch halbwegs einen Sinn, aber die dritte Zeile ist völlig Sinn frei und unverständlich. Könnte von jemanden verfasst worden sein, welcher der deutschen Sprache nicht mächtig ist.
Ich bin ehrlich besorgt!
Es geht mir auch nicht um diesen Kommentar, sondern eher darum, dass jemand anderes Zugriff auf mein Konto hat.
Kommentare oder upvotes kann man recht schnell rückgängig machen, aber eine Transaktion von Hive oder HBD nicht.
Deshalb habe ich folgende Schritte unternommen:
Ich habe mein Hive-Passwort und alle Schlüssel erneuert (ist offline leider nicht möglich).
Dank des Tipps von @quekery habe ich meine Posting Authority überprüft und alle gelöscht.
Zugriff auf mein Konto hatten folgende Apps:
- BuildTeam
- PeakD
- steemauto (Hive-vote)
Alle weiteren Aktivitäten laufen nur noch über Peakd mit Keychain und das bedeutet für mich auch, dass automatische Upvotes über https://hive.vote/ nicht mehr möglich sind.
Mich würde mal interessieren, ob jemand von Euch ähnliches aufgefallen ist. Eventuell so wie bei mir vor ein paar Wochen, als plötzlich die Rewards automatisch beansprucht wurden. Oder ähnliches.
Und falls ja, welche Apps haben Zugriff auf Euer Konto.
Von jetzt an bin ich auf jeden Fall etwas misstrauischer und vorsichtiger und werde bei aufkommenden Zweifel lieber nachfragen und darauf hinweisen.
Seid aufmerksam und vorsichtig und löscht vorsichtshalber lieber alle Posting Authority's. Manuell Voten ist ja auch anständiger als dieses automatisch erledigen zu lassen.
Habe auch gleich mal ein paar Posting authorities einkassiert. Ich vermute dass es nur das war. Aber besser etwas paranoid bleiben und das Ganze beobachten. Hatte gehofft man könnte im Blockexplorer sehen, wer unterzeichnet hat, konnte ich dort aber leider nicht. Kann man das irgendwie herausfinden?
Der Frontend-Betreiber des benutzten Frontends könnte eventuell das Betriebssystem und den Browser, sowie die IP erkennen, mehr geht aber glaube ich nicht.
Wichtig für mich ist, dass meine Coins sicher sind, alles andere kann man wieder ins rechte Licht rücken.
!invest_vote !WITZ !LOLZ !LUV !PIZZA !wine
@condeas, @janasilver(1/4) sent you LUV. | tools | discord | community | HiveWiki | NFT | <>< daily
Congratulations, @janasilver You Successfully Shared 0.100 WINEX With @condeas.
You Earned 0.100 WINEX As Curation Reward.
You Utilized 1/2 Successful Calls.
Contact Us : WINEX Token Discord Channel
WINEX Current Market Price : 0.155
Swap Your Hive <=> Swap.Hive With Industry Lowest Fee (0.1%) : Click This Link
Read Latest Updates Or Contact Us
Hallo @condeas
Das finde ich jetzt krass...und das bei einem der sich sooo gut auskennt.
Jetzt werde ich auch mal meine Keys von vor 5 Jahren ändern.
Wie ändert man denn die Autovotes?
Gruß vom @bitandi
gut und sicher aufbewahren ;)
Du meinst sicherlich die Authority
Wenn Du auf https://peakd.com/@bitandi/permissions auf "Authority" klickst und dann einfach auf löschen klicken. autovotes werden dann nicht mehr funktionieren.
Das bringt nix, wenn der Active Key bei HiveVote bzw. hivesigner schon hinterlegt wurde.
Man generiert mit dem Master PW neue Keys und dann hat keiner mehr Zugriff.
Übrigens, auch an @condeas: ich hab das gecheckt und hive.vote funktioniert, auch wenn der active key für steemauto NICHT hinterlegt ist.
In peakd kann man dazu einfach manuell eine authority hinzufügen, und der posting key von steemauto reicht. Hivesigner werde ich gar nicht mehr benutzen!
ganz genau ;)
Das Gute ist, dass man es rechtzeitig erkennen kann und mit HP und Hive/HBD savings die Möglichkeit hat, die Hives zu locken, sodaß schnelle Abgriffe wie bei anderen Wallets (zb. ETH) nicht möglich sind.
Darüber bin ich auch sehr froh.
Aber Upvotes und Kommentare fallen da eher gar nicht auf, es sei man überprüft sein eigenes Verhalten auf der Blockchain.
Wenn mich da gestern niemand darauf aufmerksam gemacht hätte, dann hätte ich die gefälschten Kommentare gar nicht bemerkt.
Aber ein Gutes hat es am Ende doch gehabt, ich habe gelernt, dass man einige Sachen mit seinen Keys nicht machen darf und da steht der Verzicht auf Authoritys ganz oben.
Nein, das kenne ich nicht, da ich hochgradig paranoid bin.
Wenn du HiveVote nutzt, dann hast du bei hivesigner einen Active Key hinterlegt. Das ist nicht gut und daher ist von hivesigner auch abzuraten. Das hat nichts mit dem von dir angesprochenen Problem (da der Posting Key ja reichen würde) zu tun, muss aber dringend gesagt werden an dieser Stelle.
Du könntest außerdem mal deine JSON Metadata ändern (da ist noch Steemit Shit drin).
Quelle: https://hiveblocks.com/@condeas (unten links)
Das kannst du mit dem Tool von @primersion machen:
https://primersion.github.io/hive-update-metadata/
Danke für den Hinweis, habe es gleich mal geändert :-)
Sieht schon viel besser aus.
Das ist auch veraltet (aber jetzt lasse ich dich in Ruhe):
Bin für jeden Hinweis dankbar ;)
Das sollte jeder überprüfen. Werde ich demnächst auch tun. Rehive!
😏 Oh, seltsam. Da muss dann ja jemand deine Keys abgegriffen haben. Aber wie? Hivesigner, wie in nem anderen Kommentar vermutet?
Eigentlich hätten was das betrifft, schon vor ein paar Wochen bei mir die Alarmglocken läuten müssen. Da wurden die Rewards plötzlich automatisch geclaimt.
Wie es dazu kam weiß ich nicht. Über Hivsigner wäre es denkbar, aber dann frage ich mich welcher App-Betreiber das macht. BuildTeam käme da in betracht, aber ich hatte mit Ricardo keine persönlichen Streitereien.
Ich hoffe dass es nun erledigt ist, aber ein ungutes Gefühl habe ich doch noch.
Vermutlich hast Du bei HiveVote einfach diese Funktion (Autoclaim) auf "on" stehen. Das Autoclaimen kannst Du da ganz leicht abschalten. Wenn dem so ist, hat das Autoclaimen wahrscheinlich nichts mit der anderen Sache zu tun.
Hatte ich leider nicht, es hörte ohne dass ich etwas getan habe wieder auf.
Das ist dann natürlich richtig alarmierend.
Kann ich verstehen. Drücke die Daumen, dass jetzt wieder alles wieder eingerenkt ist.
PS: Was ist BuildTeam?
Dlease funktioniert aber auch über Keychain
Ja das ist ja mal krass 😳
Das ist es in der Tat. Zumal ich bis heute dachte, dass meine Keys sicher aufbewahrt sind.
Das zeigt einmal mehr wie wichtig es ist auf die Keys aufzupassen...
Da ich mich hauptsächlich mit unserer Sprache beschäftige, möchte ich lediglich behaupten, dass dies ein von einem Übersetzungsportal generierter Text ist.
Jemand, der der deutschen Sprache weder noch mächtig ist, bekommt den Text in dieser Form nie und nimmer hin. Solche Menschen (Wichtigmacher mit selbst auferlegtem Slang) ziehen ihren Stil von A bis Z durch. Was jedoch hier überhaupt nicht der Fall ist. Hier geht es um bewusste Manipulation.
Ja, ähnlich wie der Kommentar des @blocklaw https://peakd.com/hive/@blocklaw/re-quantummaa-rqjqcz
Ergibt auch irgendwie keinen richtigen Sinn.
Hier ließen sich wahrhaftig Vergleiche aufweisen.
Bemerkenswert, dass er verwirrende Phrasen der Übersetzung nicht selbst erkennt und dabei auch noch Formulierungen zulässt, wie sie in der deutschen Sprache nie und nimmer auftauchen.
Desto mehr man hier mitbekommt, desto weniger Lust hat man auf diesen Blockchain kram, danke für die Info, dass hier wohl alles möglich zu sein scheint. !PIZZA
Eigentlich ist es hier schon relativ sicher, man sollte mit seinen Keys nur sehr sorgfältig umgehen.
Ich denke Keychain ist zur Zeit mit die beste Lösung, um seine Keys sicher verwalten zu können. Auch ist es dort möglich, nur seine Aktionen über seinen Postingkey verwalten zulassen. Activ und Memokey wird eigentlich sehr selten benötigt und muss deshalb dort auch nicht hinterlegt sein.
Ok, Danke noch mal für die ausführliche Erklärung.
Da kann ich echt Dankbar sein, das Quecker mir in diesen ganzen Sachen mit Rat und Tat zur Seite stand.
Hoffentlich löst sich dein Problem und alles wird wieder gut.
Ein !LUV darauf.
@condeas, @themyscira(1/1) sent you LUV. | tools | discord | community | HiveWiki | NFT | <>< daily
Hattest du nach dem Wechsel von Steem auf Hive deine Schlüssel getauscht? Die Steem Schlüssel wurden doch glaube ich kompromittiert, oder?
Zumindest alles Keys auf die @hamna Zugriff hat. Warum wurde leider noch nicht herausgefunden
Die Keys und auch den Rec-Account hatte ich damals gleich geändert.
Krass, wie konnte das passieren? Neue Keys müssten eigentlich helfen, außer dein Browser / PC sind irgendwie kompromitiert.
Das mit dem Browser oder PC kam mir auch schon in den Sinn. Nur PC finde ich sehr unwahrscheinlich, da meine Sparrow Wallet noch nicht leergeräumt wurde.
Browser könnte da eher in Betracht gezogen werden, da dort mittlerweile so viele Scripte im Hintergrund laufen, welche mit Sicherheit auch für Angriffe ausgenutzt werden könnten.
nutzt du keinen Scriptblocker??
Ich nutze ausschließlich Brave, da ist ja ein guter Blocker integriert. Aber alle Scripte kann man nicht blocken, da einige Frontends sonst nicht funktionieren.
Was den Hack betrifft, da sehe ich den Fehler in den Posting Authoritys und mir fällt da auch jemand ein, wer eventuell einen Grund und die Möglichkeit hätte. Und dieser spricht auch kein deutsch, was dieses Kauderwelsch erklären könnte.
Ja das ist klar - du musst den Skriptblocker dann erstmal für die Seiten die du nutzt einrichten und die nötigsten Skripte wieder aktivieren.
Sobald einmal eingerichtet funktioniert das wie ein Traum - und alle unnötigen Skripte werden schön geblockt. :)
Woh das ist echt besorgniserregend! gut dass du gleich die Passwörter geändert hast. Hast du dich eventuell mal mit einem Handy mit einem unsicheren Netwerk (WLAN) verbunden und dort Hive verwendet?
Passwörter ändern und Posting-Authorities anschauen ist da natürlich der wichtigste Schritt. Gut dass du keinen finanziellen Schaden genommen hast.
Als Fernfahrer tue ich dieses sehr oft. Aber danke, ich habe gerade gesehen, dass mein alter Postingkey im Klartext auf einer Datei in meinem Smartphone gespeichert ist. Das ist natürlich etwas was man nicht tuen sollte.
tztztz 😁😉
heftig,
bin gespannt, woran es lag !WINE
Da kann ich immer nur noch Vermutungen aufstellen.
Aber ich vermute da ganz stark, dass meine Authoritys ausgenutzt wurden und dass der Täter es wollte, dass ich es bemerke.
Congratulations, @burn950 You Successfully Shared 0.100 WINEX With @condeas.
You Earned 0.100 WINEX As Curation Reward.
You Utilized 1/2 Successful Calls.
Contact Us : WINEX Token Discord Channel
WINEX Current Market Price : 0.155
Swap Your Hive <=> Swap.Hive With Industry Lowest Fee (0.1%) : Click This Link
Read Latest Updates Or Contact Us
Um erstmal auf deine Frage einzugehen BuildTeam und PEAKD sind bei uns in den Authorities vertreten. Merkwürdigkeiten wie Rewards beanspruchen sind mir nicht aufgefallen.
BuildTeam sagt mir gar nichts.
Ja ist schon ein Hammer aber ich denke Du hast alles richtig gemacht. Mit dem Master PW deine Passwörter geändert, die Autorities weggenommen und den Post gemacht der hoffentlich ganz ofz rehived wird.
LG Michael
!invest_vote
Das ist DLease und der Betreiber hat Blurt mitgegründet
Vielen Dank für die Info. Aber nutzt du nicht auch DLease oder wo hast Du Deine Delegation her?
Irgendwie finde ich es ja gar nicht schlecht dass es passiert ist und du jetzt keinen großen Schaden hast und die die interessiert sind daraus lernen. Du natürlich auch.
LG Michael
!invest_vote
Habe früher DLease genutzt und DLease funktioniert schon länger mit Keychain. Man kann diese Authority ruhig entfernen.
Meine Delegation mit @fw206 läuft schon eine Weile ohne DLease. Ich bezahle ihm täglich 7 Hive und das funktioniert genauso gut, auch ohne Vermittler dazwischen.
Das Risiko ist für beide Parteien ähnlich gering, da ja täglich gezahlt wird und jede Seite, zu jeder Zeit, aufhören kann.
Das ist ja cool. Hatte sonst auch immer einige die delegiert haben. Ist aber sehr wenig geworden und deshalb habe ich DLease mal aus probiert. Da ist man round about bei 12 %. Habe für 400 Hive 10 K Hive Power für 16 Wochen bekommen. Wie schätzt du das ein. Habe gerade noch mal geschaut jetzt fangen die Delegierungen auf der Seite bei 11,2 % an.
LG Michael
!invest_vote
@mima2606 denkt du hast ein Vote durch @investinthefutur verdient!
@mima2606 thinks you have earned a vote of @investinthefutur !
@mima2606 denkt du hast ein Vote durch @investinthefutur verdient!
@mima2606 thinks you have earned a vote of @investinthefutur !
Danke, wichtige Info! Ich bin nun ja wieder dabei und nutze noch meine Steemit Keys. Gab es da eine generelle Empfehlung, dass die geändert werden sollen?
Ich bin normalerweise ähnlich paranoid wie @oliverschmid und wollte das Thema Sicherheit auch alsbald angehen. Hast du weitere Tipps, Olli?
Du solltest dringend dein Passwort hier zurücksetzen, da es mit hoher Wahrscheinlichkeit bei Justin Sun in einer Datenbank liegt. Wenn du dein Master Password zurücksetzt, werden auch alle Keys neu generiert. Keiner kann mit Sicherheit sagen, ob Steemit diese nicht abgegriffen hat. Das gilt übrigens auch für diverse Frontends hier auf Hive, daher nutze ich auch nach wie vor nur hive.blog und PeakD bzw. ausschließlich Dienste, die mit Keychain zugänglich sind. Die direkte Eingabe von Keys (egal welche) unterlässt man.
Das Zurücksetzen des Master Passwords macht man in Ruhe und nicht übereilt, um keinen Fehler zu machen. Wenn man sich unsicher ist, übt man den Ablauf mit einem Alt Account, so habe ich das auch immer gemacht.
Das Thema Sicherheit ist ein Fass ohne Boden. Man fährt ganz gut, wenn man nicht an zig Stellen Permissions vergibt und vorzugsweise Keychain nutzt. Außerdem studiert man hier ausführlich die Unterschiede der Keys & Permissions.
Habe gerade eine Antwort-Mail von Quentin bekommen, in der er darauf hinweist, dass bei Keychain alle Keys verschlüsselt auf den eigenen Rechner liegen. Also sehe ich ebenfalls Keychain als sicherste Lösung an.
Genau das ist auch mein Wissensstand.
Danke! Verwende jetzt nur noch ausschließlich Keychain.
Danke! Verwende jetzt nur noch ausschließlich Keychain.
Danke!!! Guter Einwand mit Justin Sun und Steemit.
Ich werde mit einem Alt-Account zunächst üben, um nicht den Zugang zu verlieren und dann hier mein Master Passwort ändern.
Sehr gut.
Habe ich direkt für drei Accounts gemacht. Drei weitere nutze ich sicherlich nicht mehr. :P
Hat alles easy geklappt. Man muss nur konzentriert dabei sein.
Sehr gut.
Drei Accounts würde mich überfordern, ich habe zwei, @/oliverschmid und @/muenchen.
Nur mit dem Master Password kannst du alles zurücksetzen. Wenn du jetzt noch das Master Password abschreibst, das Papier laminierst und an einem sicheren Ort lagerst (Erdbeben, Brand, Plünderung, Überfall etc. berücksichtigen), bist du ganz gut aufgestellt. Anschließend entfernst du das Master Passwort vom Rechner. Ich gehe davon aus, dass du einen Mac nutzt und diesen stetig aktualisierst, denn dann ist die Wahrscheinlichkeit sehr niedrig, dass du mit irgendeinem Scheiß infiziert bist (Tastatur-Tracer). Manche schrieben es auch zweimal ab und lagern es an zwei Orten, das birgt aber wieder ein neues Risiko. Wenn du dich vor Brand, Vergilbung usw. schützen willst, kannst du eine Cryptosteel Capsule nutzen.
Herzlichen Glückwunsch, du hast dir das Badge Not your Key, not your Money verdient.
Fun-Facts: Ein sehr bekannter User hat HIVE und Splinterlands Assets im Wert von über 200k USD verloren, da er sein Master Password nur auf dem Laptop hatte und diesen am Flughaften vergessen hat. Vitalik Buterin halbiert seine Private Keys (Das Äquivalent des Master Passwords auf Ethereum) und lagert jeweils die Hälfte an einem sicheren Ort. Die Winklevoss Zwillinge haben BTC in "kleinen" Tranchen in Schließfächern auf dem gesamten Planeten verteilt.
Einen weiteren Account @thefittest nutze ich nur für Actifit und will hier niemand damit zuspammen. Auf /@sussy möchte ich zukünftig größere Einzahlungen tätigen, die sich dann nicht auf den ersten Blick direkt mit mir verbinden lassen. Mit /@muenchen hat es bei dir bestimmt den gleichen Hintergrund.
Bezgl. Sicherung/Verwahrung des Master-PWs stimme ich dir komplett zu - das ist die sicherste Methode. Ich verfahre da ähnlich. Den Seed für meinen Ledger habe ich laminiert und verwahre diesen an zwei Orten, sollte es an einem brennen oder so. Ein Ort davon ist eine Art Schließfach, das rund um die Uhr geschützt ist und ich zugleich rund um die Uhr Zugang habe. Meine weiteren Passwörter und Seeds verwahre ich auf einem verschlüsselten Stick, der sich nur mechanisch mit einem Code entschlüsseln lässt. Das ist im Alltag etwas praktikabler und gibt dennoch Sicherheit. Ansonsten hattest du recht: ich bin Apple-User und habe so automatisch ein wenig mehr Sicherheit.
Lustige und interessante Facts. Man muss in diesem Space einfach sehr besonnen sein. Obwohl ich paranoid und sehr gewissenhaft bin, ist mir neulich nach 5 Jahren auch erstmalig ein Fehler unterlaufen. Durch Unachtsamkeit habe ich eine Transaktion versemmelt und Coins an eine Adresse in einem anderen Netzwerk gesendet, hier DOT an MATIC. Da war ich einfach nicht fokussiert. Zum Glück war der Geldwert davon überschaubar.
viel Erfolg :)
Hat alles wunderbar geklappt. :)
Wenn Du in der Vergangenheit mit den Keys sorgsam umgegangen bist, ist es nicht umbedingt nötig diese zu erneuern.
Du solltest aber unbedingt den Recovery Account von Steem auf einen anderen ändern.
Du kannst dir dafür ruhig einen zweiten Account erstellen, mit welchen Du im Falle dein Hauptkonto zu jeder Zeit und zuverlässig selber retten kannst.
Lesetipp:
https://peakd.com/hive-121566/@condeas/hive-master-passwort-wie-wichtig-ist-das
https://peakd.com/hive-121566/@condeas/das-neue-hive-whitepaper
Servus @condeas,
Nach überlegen wie das sein kann, kam mir ein Gedanke da du das
BuildTeam nanntest, denk mal ganz scharf nach, wer da zugriff auf die Webseite hat....
könnte sein, muss aber nicht sein....
wäre aber für mich die logischste Erklärung,
So werd nun auch gleich wieder alles erneuern....
lg
Richtig. Daran hatte ich auch schon gedacht, aber ich persönlich hatte keinen Streit mit ihm.
Dieser gefälschte Kommentar ist in seiner Form überzogen boshaft und hat nicht das geringste mit der Diskussion zu tun, so das ich vermute, dass ich ihn sehen sollte.
Ironischer weise beschwerte ich mich darüber, dass ich nicht sicher sein kann, mit wem ich gerade kommuniziere. Und wenig später kommen solche eigenartigen Kommentare.
Durch die Authoritys hatte ich ja auch kaum Überblick über meine Aktivitäten. Up- und Downvotes, sowie Kommentare bekommt man ja gar nicht mit. Da war Steemworld damals doch recht hilfreich.
Jedenfalls sieht man wieder mal,
selbst kontrolle ist wichtiger den je...
Ich ändere meine Keys eigentlich alle 6 Monate,
diesmal nun etwas früher...
Hoffe das damit nun bei dir damit Ruhe und die
Sicherheit das nur du zugriff hast, einkehrt....
View or trade
BEER
.Hey @condeas, here is a little bit of
BEER
from @isnochys for you. Enjoy it!Learn how to earn FREE BEER each day by staking your
BEER
.Thank you for your witness vote!
Have a !BEER on me!
To Opt-Out of my witness beer program just comment STOP below
Ist schon komisch, dass ausgerechnet bei mir so kommentiert wird: https://peakd.com/@jnmarteau/re-condeas-rqus0b
Die berühmte "Nazikeule", welche letztendlich auf Blurt zur Eskalation führte. Ich glaube unser Verdacht ist gar nicht so unbegründet.
Danke, das sehe ich mir an!
Auf PeakD wird man sehr aufdringlich darauf hingewiesen, seinen Recovery Account zu ändern. Habe das mit dem Tool von /@arcange gemacht. Das Thema sollte in zwei Wochen erledigt sein.
Noch ne Idee, wo ich die alten Permissions von Steemit einsehen kann? Oder gelten die auch für Hive?
Ja, aber die funktionieren nicht auf Hive. Wenn Du keinen Autovoter nutzt kannst Du ruhig unter https://peakd.com/@eikejanssen/permissions alle Authoritys löschen.
Da gebe ich Oli ebenfalls recht, dass das alleine nicht ausreicht und man sollte dann ebenfalls seine Keys erneuern. Nur um ganz sicher zugehen.
Habe da jetzt nur hive.blog und PeakD als Berechtigte. Alle anderen sind raus.
Wenn Du Keychain nutzt, kannst Du diese Authoritys ebenfalls löschen
Würde ich auch empfehlen das zu tun
Alles klar, danke.
Danke, ich hatte da auch zwei drinnen bei der Posting Authority und hab sie jetzt gelöscht.
!LUV
Congratulations @condeas! You have completed the following achievement on the Hive blockchain And have been rewarded with New badge(s)
Your next payout target is 25000 HP.
The unit is Hive Power equivalent because post and comment rewards can be split into HP and HBD
You can view your badges on your board and compare yourself to others in the Ranking
If you no longer want to receive notifications, reply to this comment with the word
STOP
To support your work, I also upvoted your post!
Check out our last posts:
Support the HiveBuzz project. Vote for our proposal!
PIZZA Holders sent $PIZZA tips in this post's comments:
themyscira tipped condeas (x1)
@janasilver(1/5) tipped @condeas (x1)
You can now send $PIZZA tips in Discord via tip.cc!
@mima2606 denkt du hast ein Vote durch @investinthefutur verdient!
@mima2606 thinks you have earned a vote of @investinthefutur !
@janasilver denkt du hast ein Vote durch @investinthefutur verdient!
@janasilver thinks you have earned a vote of @investinthefutur !
Das sehe ich genau so. Konnte deshalb kaum schlafen, aber der Spuk scheint vorbei zu sein :-)