Хакеры грабят тысячи клиентов Coinbase, используя брешь MFA

36
Подозреваемые китайские хакеры стоят за атаками на десять израильских больниц

Криптобиржа Coinbase раскрыла, что злоумышленник украл криптовалюту у 6000 клиентов после использования уязвимости для обхода функции безопасности многофакторной аутентификации SMS компании.

Coinbase — вторая по величине биржа криптовалют в мире, насчитывающая около 68 миллионов пользователей из более чем 100 стран.

В уведомлении, отправленном затронутым клиентам на этой неделе, Coinbase объясняет, что в период с марта по 20 мая 2021 года злоумышленник провел хакерскую кампанию для взлома учетных записей клиентов Coinbase и кражи криптовалюты.

По словам Coinbase, для проведения атаки злоумышленникам необходимо было знать адрес электронной почты клиента, пароль и номер телефона, связанные с их учетной записью Coinbase, и иметь доступ к учетной записи электронной почты жертвы.

Хотя неизвестно, как злоумышленники получили доступ к этой информации, Coinbase считает, что это произошло с помощью фишинговых кампаний, нацеленных на клиентов Coinbase с целью кражи учетных данных, что стало обычным явлением. Кроме того, известно, что банковские трояны, традиционно используемые для кражи онлайн-банковских счетов, крадут учетные записи Coinbase.

Ошибка MFA позволила доступ к учетным записям

Даже если хакер имеет доступ к учетным данным клиента Coinbase и учетной записи электронной почты, он обычно не может войти в учетную запись, если у клиента включена многофакторная аутентификация.

В руководстве Coinbase по защите учетных записей они рекомендуют включить многофакторную (MFA) аутентификацию с использованием ключей безопасности, одноразовых паролей на основе времени (TOTP) с приложением для аутентификации или, в крайнем случае, текстовых SMS-сообщений.

Однако Coinbase заявляет, что в процессе восстановления их учетной записи SMS существует уязвимость, позволяющая хакерам получить токен двухфакторной аутентификации SMS, необходимый для доступа к защищенной учетной записи.

«Даже с учетом информации, описанной выше, для доступа к вашей учетной записи Coinbase требуется дополнительная аутентификация», — поясняло уведомление Coinbase для клиентов, которых видел BleepingComputer.

«Однако в этом инциденте для клиентов, которые используют тексты SMS для двухфакторной аутентификации, третья сторона воспользовалась недостатком в процессе восстановления учетной записи SMS Coinbase, чтобы получить токен двухфакторной аутентификации SMS и получить доступ к вашей учетной записи. . »

Как только они узнали об атаке, Coinbase заявляет, что они исправили «протоколы восстановления учетной записи SMS», чтобы предотвратить дальнейший обход многофакторной аутентификации SMS.

Поскольку злоумышленник также имел полный доступ к учетной записи, была раскрыта личная информация клиентов, включая их полное имя, адрес электронной почты, домашний адрес, дату рождения, IP-адреса для активности учетной записи, историю транзакций, средства на счетах и ​​остатки средств.

Поскольку ошибка Coinbase позволила злоумышленникам получить доступ к так называемым защищенным счетам, биржа размещает на затронутых счетах средства, равные украденной сумме.

«Мы зачислим на ваш счет средства, равные стоимости валюты, неправильно удаленной с вашего счета во время инцидента. Некоторым клиентам уже возмещены расходы — мы позаботимся о том, чтобы все затронутые клиенты получили полную стоимость того, что вы потеряли. «Вы должны увидеть это в своем аккаунте не позднее сегодняшнего дня», — пообещал Coinbase.

Неясно, будет ли Coinbase кредитовать взломанных клиентов украденной криптовалютой или фиатной валютой. Если фиатная валюта, это может привести к налогообложению для жертв, если у них будет увеличение прибыли.

Клиенты, пострадавшие от этой атаки, могут связаться с Coinbase по телефону (844) 613-1499, чтобы узнать больше о том, что делается.

Coinbase поделился следующим заявлением, когда мы запросили дополнительную информацию об атаках. Тем не менее, они не предоставили никакой дополнительной информации о недостатке SMS MFA, который они исправили.

Что должны делать жертвы Coinbase

Поскольку для атаки требовался пароль учетной записи Coinbase и электронной почты клиента, жертвам настоятельно рекомендуется немедленно изменить свои пароли.

Coinbase также рекомендует пользователям переключиться на более безопасный метод MFA, такой как аппаратный ключ безопасности или приложение аутентификации.

Наконец, жертвы должны внимательно следить за будущими целевыми фишинговыми электронными письмами или текстами SMS, которые пытаются украсть учетные данные с использованием информации, раскрытой в результате взлома.

Это не первый раз, когда ошибка в системе MFA Coinbase вызвала проблемы у их клиентов.

В августе Coinbase случайно уведомила 125000 клиентов об изменении их настроек 2FA, что вызвало панику среди тех, кто получил предупреждение.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here