*Hallo Steemit-Freunde,*
gestern ist es passiert, ein Fehler den ich vor langer Zeit gemacht hatte, rächte sich. Jemand mißbrauchte ohne meine ausdrückliche Erlaubnis (von der Steem Blockchain abgesicherte Authority, siehe Liste auf steemd.com/@Nutzername im linken Bereich)
meinen privaten Veröffentlichungs-Schlüssel (private posting key) 🔐 und stimmte mit meiner Steempower von immerhin 0,03$ mit 100% für einen Schrottartikel und das nicht nur einmal, sondern immer wieder. An die 3,000 accounts sollen vom Datenklau 🚨 und der Ablage in einer lokalen Datenbank betroffen sein laut einem Artikel von @themarkymark.
Was kann jemand mit dem privaten Veröffenlichungs-Schlüssel anstellen?
Das Gute zuerst, es kann nicht Eurer wertvolles Steem 💰 an die nächste Börse überweisen oder in einen anderen Account verschieben um sich zu bereichern. Dazu braucht es schon mindestens den privaten aktiven Schlüssel. Der Schaden ist, wenn schnell eingedämmt (s. weiter unten) relativ gering.
Stimmenmißbrauch
Aber es kann sich indirekt bereichern mit dem Mißbrauch Eurer Stimmenkraft (voting power). Je mehr SP (Steem Power) Ihr gebunkert habt, desto wertvoller sind Upvotes von Artikeln, vor allem wenn es volle Stimmen (100%) sind. Im Prinzip nutzen diese Leute Eurer Potenzial (Steem Power) um Geld zu verdienen.
Dreck schreiben
Es könnte auch Mistartikel in meinem Name veröffentlichen, so oft es will, mit egal welchem Inhalt.
Reputationsverlust
Die Folge davon: Die Scammer vermiesen Euch die Reputation, wenn plötzlich Eure Stimme für Schrottartikel abgegeben wird oder ihr sie sogar scheinbar selbst schreibt und das regelmäßig. Mir wäre es evtl. auch gar nicht aufgefallen, wenn mich niemand darauf hingewiesen hätte.. spätestens wenn etwas Seltsames in meinem Blog aufgetaucht wäre. Die kriminelle Energie war zum Glück zu gering, wie es scheint. Genervt hatten diese "Lokführer" schon mit spamming im Kommentarbereich bei mir und ich hatte diese damals freundlich und direkt aufgefordert das zu unterbinden, was tatsächlich auch funktioniert hatte.
Wie ist es überhaupt dazu gekommen?
Vor vielen Monaten startete die Initiative von Steem Engine (das sind die Guten) mit Token und schlauen Verträgen von @aggroed. Ich wollte dabei sein, es ausprobieren und suchte nach der Website. Über Google bin ich auf folgender FALSCHEN Seite gelandet. Ich verlinke diese hier NICHT! FINGER WEG!
(das sind die Bösen!)
In folgenden Fenster wird Euch praktisch der private Schlüssel geklaut, also bitte NICHT NACHMACHEN!
Dank der deutschen Community wurde ich gestern darauf aufmerksam gemacht, das sich hier wer fleißig mit den geklauten Schlüsseln voted.
Wie habe ich reagiert?
🤦.. na klar, Dummheit gehört bestraft! Grundregel Nr. 1 verletzt "Deine Schlüssel, Dein Steem!". Geb ich die Schlüssel meines Hauses, meines Autos Fremden dann muss ich mit dem Schlimmsten rechnen. Zum Glück verwendet Steem eben dieses mehrstufige Schlüsselsystem. Der private Veröffentlichungs-Schlüssel kann eben nur ein paar Türen aufschließen und man kommt nicht gleich in die oberste Etage, Glück im Unglück!
Bild von Markus Christ auf Pixabay
Dann bin ich der Aufforderung von @themarkymark nachgekommen und habe mein Master-Passwort geändert und damit auch alle Schlüssel (posting, active, owner, memo) neu generiert. Ich will hier keine Empfehlung für diese Aktion geben, jeder muss selbst entscheiden was er tut. Seid vorsichtig und sichert das neu erzeugte Passwort sofort! damit Ihr Euch nicht aussperrt!
Kleiner Tipp: Alle Schlüssel (posting, active, owner, memo) werden automatisch neu generiert sobald Ihr Eurer Master-Passwort ändert!
Das wusste ich nicht und hatte erst vergeblich nach Quellen gesucht, wie ich nur den privaten Veröffentlichungs-Schlüssel ändern kann. Das Master-Passwort ändert alle Schlüssel. Sichert das neue erzeugte Master-Passwort sofort, um weiterhin Zugriff auf Euren Account und Eure Schlüssel zu haben!
Tipp: Behaltet unbedingt noch Eure alten Schlüssel!, falls irgendwas schief geht bei der Änderung!
Tipp: Löscht Euren Browser-Cache nach der Änderung um die Passwörter auch wirksam werden zu lassen. Ich hatte den Effekt das mein neues Master-Passwort zwar funktionierte, aber der neue private Veröffentlichungs-Schlüssel nicht, sondern noch der alte, weil im Cache noch vorhanden.
Da das sog. steemengineteam (verwenden eine archaische Dampflok als Logo) nicht offiziell über die Steem blockchain für das Voting authorisiert war bei mir, konnten sie eigentlich nur meinen privaten Schlüssel in irgendeiner lokalen "Excel-Tabelle" abgelegt haben um Unfug zu treiben. Um die Wahl- und Schreibrechte wieder zu entziehen bleibt nur das ändern der Schlüssel (vgl. Schlüsseldienst der aus Sicherheitsgründen alle Schlösser austauschen muss, nur kommt man bei Steem billiger weg 😉).
Was ist das Fazit aus diesem Schlamassel?
Ich werde noch vorsichtiger sein, wem ich meine Schlüssel gebe und vor allem welchen Schlüssel, auf welchen Webseiten, für welche Projekte. Für Neulinge auf Steem deshalb an dieser Stelle auch noch mal folgende Hinweise:
Das Master-Passwort oder der Eigentümer Schlüssel (private owner key) SIND IMMER ABSOLUT PRIVAT! Keiner hat diese jemals zu sehen außer Dir selbst, da man im schlimmsten Fall aus seinem Account ausgesperrt wird, bye bye Steem! Auch beim privaten aktiven Schlüssel (private active key) ist höchste Vorsicht geboten, insbesondere wenn mal viel flüssiges Steem im Account liegen hat, da dieses mit dem Schlüssel direkt an die nächste Börse überwiesen werden kann, bye bye Steem. Wer viel Steem Power (SP) sein eigen nennt kann von einem Powerdown getroffen werden. Dieser dauert aber insgesamt 13 Wochen, genügend Zeit um das Schlimmste zu verhindern.
Folgend das Bild was Ihr auch im Wallet unter Keys & Permissions findet, übersetzt und etwas erweitert für mehr Verständlichkeit aus Nutzersicht:
Was die einzelnen Schlüssel alles können, von links nach rechts die Mächtigkeit
Wie überall im Leben gibt es auch auf dem Steem immer wieder schwarze Schafe, die Leuten in die Tasche greifen. Die dunkle Seite ist immer da, die helle Seite, die Community aber auch, wie ich in diesem Fall wieder gemerkt habe. Deshalb noch mal vielen Dank auch an alle die mich direkt über Discord angeschrieben, gewarnt haben oder mir mit Fragen weiter geholfen haben @twinner @simi @the01crow @themarkymark 👌😌👍. Das ist echt stark, der Steem, die Kryptogemeinde!