Εν συντομία
- Η Coinbase λέει ότι θα αποζημιώσει τους περισσότερους από 6,000 πελάτες που είχαν εξαντλήσει χρήματα.
- Οι εισβολές προέκυψαν ως αποτέλεσμα μιας καμπάνιας phishing που περιέκλεισε τον έλεγχο ταυτότητας SMS.
- Το hack δεν διείσδυσε στους διακομιστές της εταιρείας.
Ο γίγαντας κρυπτονομισμάτων Coinbase αποκάλυψε ότι «τουλάχιστον 6,000 πελάτες Coinbase αφαιρέθηκαν χρήματα από τους λογαριασμούς τους» ως αποτέλεσμα μιας πρόσφατης εκστρατείας phishing που είδε τους χάκερ να παρακάμπτουν μια λειτουργία ελέγχου ταυτότητας βάσει SMS που η εταιρεία χρησιμοποιούσε για την ασφάλεια πολλών λογαριασμών.
Τα νέα της εκστρατείας phishing ήταν τα πρώτα αναφερθεί τον Αύγουστο, αλλά το εύρος του έγινε σαφές μόνο μετά μια επιστολή άρχισε να κυκλοφορεί η εταιρεία που απέστειλε σε πελάτες που επηρεάστηκαν.
Στην επιστολή, η Coinbase αναφέρει ότι οι χάκερ απέκτησαν πρόσβαση στους λογαριασμούς email των θυμάτων και στη συνέχεια χρησιμοποίησαν αυτούς τους παραβιασμένους λογαριασμούς για να εξαντλήσουν το κρυπτονομίσματα αυτών των χρηστών. Παρόλο που το Coinbase απαιτεί μια ευρέως χρησιμοποιούμενη δυνατότητα ασφαλείας που ονομάζεται "έλεγχος ταυτότητας δύο παραγόντων", η έκδοση SMS αυτού - στην οποία οι χρήστες λαμβάνουν ένα μήνυμα κειμένου για να επιβεβαιώσουν μια συναλλαγή - χάλασε.
«Ωστόσο, σε αυτό το περιστατικό, για πελάτες που χρησιμοποιούν μηνύματα SMS για έλεγχο ταυτότητας δύο παραγόντων, το τρίτο μέρος εκμεταλλεύτηκε ένα ελάττωμα στη διαδικασία ανάκτησης λογαριασμού SMS της Coinbase για να λάβει ένα διακριτικό ελέγχου ταυτότητας δύο παραγόντων SMS και να αποκτήσει πρόσβαση στον λογαριασμό σας », αναφέρει η επιστολή.
Η Coinbase λέει επίσης ότι θα αποζημιώσει όσους έχασαν χρήματα ως αποτέλεσμα της επίθεσης phishing και ότι έχει ήδη αρχίσει να κάνει τους πελάτες ολόκληρους. Η εταιρεία δεν αποκάλυψε το συνολικό ποσό που έκλεψαν οι χάκερ.
Το περιστατικό δεν ισοδυναμούσε, όπως ανέφεραν ορισμένοι, σε χακάρισμα της Coinbase, καθώς οι χάκερ δεν φαίνεται να έχουν παραβιάσει τα εσωτερικά συστήματα της εταιρείας. Αντίθετα, οι ληστείες προέκυψαν επειδή οι πελάτες έπεσαν σε επιθέσεις phishing που στόχευαν στο προσωπικό τους ηλεκτρονικό ταχυδρομείο - ένα εξαιρετικά συνηθισμένο φαινόμενο.
Δεν είναι σαφές, ωστόσο, γιατί η Coinbase άργησε να αναγνωρίσει τα περιστατικά, τα οποία έλαβαν χώρα σε μια περίοδο από τον Μάρτιο έως τον Μάιο. Ενώ η εταιρεία δημοσίευσε α ανάρτηση νωρίτερα αυτή την εβδομάδα, περιγράφοντας μια εξελιγμένη καμπάνια phishing, δεν αποκάλυψε ότι οι χάκερ την είχαν χρησιμοποιήσει για να ληστέψουν με επιτυχία χιλιάδες πελάτες. Ούτε η Coinbase φαίνεται να έκανε κάτι για να προειδοποιήσει τη βάση πελατών της τη στιγμή που γίνονταν οι επιθέσεις ή ακόμα και τους επόμενους μήνες.
Σύμφωνα με εκπρόσωπο της Coinbase, η εταιρεία δεν ήθελε να παρέμβει στις υπηρεσίες επιβολής του νόμου που ερευνούσαν το περιστατικό.
«Λόγω του μεγέθους, του εύρους και της πολυπλοκότητας της εκστρατείας, συνεργαζόμαστε με μια σειρά από εταίρους, υπηρεσίες επιβολής του νόμου και άλλους ενδιαφερόμενους για να κατανοήσουμε την επίθεση και να αναπτύξουμε τεχνικές μετριασμού. Δεν αισθανθήκαμε άνετα να αποκαλύψουμε την επίθεση δημόσια μέχρι να ληφθούν τα σωστά βήματα για να διασφαλιστεί ότι δεν θα μπορούσε να επαναληφθεί με επιτυχία και ότι δεν θα διακυβευόταν η ακεραιότητα των ερευνών επιβολής του νόμου», είπε ο εκπρόσωπος.
Οι επιθέσεις φαίνεται να είχαν παγκόσμιο χαρακτήρα, καθώς η επιστολή της Coinbase αναφέρει ότι θα παρέχει υπηρεσίες παρακολούθησης πιστώσεων στη «χώρα διαμονής σας».
Η Coinbase προέτρεψε επίσης τους πελάτες να στραφούν σε μια πιο ασφαλή μορφή ελέγχου ταυτότητας δύο παραγόντων, όπως μια εξωτερική συσκευή υλικού ή μια εφαρμογή ελέγχου ταυτότητας.
- "
- 000
- 000 Πελάτες
- πρόσβαση
- Λογαριασμός
- Πλεονέκτημα
- app
- γύρω
- Αύγουστος
- Πιστοποίηση
- Εκστρατεία
- CNBC
- coinbase
- Κοινός
- εταίρα
- μονάδες
- cryptocurrency
- Πελάτες
- ανάπτυξη
- DID
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- Χαρακτηριστικό
- Όνομα
- ελάττωμα
- μορφή
- χρήματα
- Παγκόσμιο
- σιδηροπρίονο
- χάκερ
- αμυχές
- υλικού
- HTTPS
- IT
- Νόμος
- επιβολή του νόμου
- Μακριά
- Μάρτιος
- παρακολούθηση
- μήνες
- τάξη
- ΑΛΛΑ
- Συνεργάτες
- Phishing
- επίθεση phishing
- επιθέσεις ηλεκτρονικού ψαρέματος
- phishing καμπάνια
- σειρά
- ανάκτηση
- ασφάλεια
- Υπηρεσίες
- Μέγεθος
- SMS
- So
- εκπρόσωπος
- επιτραχήλιο
- διακόπτης
- συστήματα
- ώρα
- ένδειξη
- Χρήστες
- εβδομάδα
- Ο ΟΠΟΊΟΣ