Sok ezer Coinbase-ügyfelet károsítottak meg hackerek
A kriptotőzsde, a Coinbase nemrégiben közölte, hogy 6000 ügyfelétől loptak el hackerek kriptovalutákat, miután kihasználták a cég SMS-es többlépcsős azonosítási folyamatának sebezhetőségét. A világ második legnagyobb kriptotőzsdéjének számító Coinbase 68 millió ügyféllel rendelkezik jelenleg. Szóval megállja a helyét az a magyarázat is, amivel a Coinbase magyarázta a hackerek sikerét. Eszerint a támadás sikeréhez a támadóknak tudniuk kellett a vevők e-mail címét, jelszavát és telefonszámát is.
Egy Coinbase azonosítási bug kihasználásának története
A tőzsde úgy gondolja, hogy phish leveleken keresztül sikerült még márciusban a hackereknek begyűjteniük ezeket az információkat. A phishing módszerekkel történő adatszerzés minden korábbinál gyakoribb lett napjainkban. A Coinbase posztja viszont azt is részletesen leírja, hogy még a fentebb említett adatok megszerzése esetén sem lehetne belépni senki fiókjába, aki bekapcsolta a többlépcsős azonosítást. Ebben időalapon működő jelszavak, biztonsági kulcsok és sms üzenetek segítségével azonosíthatja magát egy felhasználó. Viszont az SMS-es jelszóhelyreállítási folyamatban volt egy bug, aminek segítségével a hackerek hozzáférhettek azon fiókokhoz, ahol SMS-es azonosítás volt beállítva. A kriptotőzsde azt közölte, hogy amint tudomásukra jutott a hiba az SMS-es azonosítási folyamatban, azonnal kijavították azt.
Azzal egyébként, hogy a hackerek hozzáférést szereztek a fiókokhoz, nem csak a kriptovalutákhoz fértek hozzá, de például az összes személyes adatot, IP címeket vagy éppen tranzakciós történetet is megismerhették. Ami viszont a legjobb és erősíti azt, hogy a kriptovaluták piacán is lehet biztonságosan kereskedni, ha megbízható szereplőket választunk, hogy a Coinbase egy az egyben megtéríti az ügyfelek kárát. Az még nem ismert, hogy kriptovalutában vagy fiat pénzben kapják meg veszteségüket az ügyfelek. A Coinbase arra is felszólította az érintett ügyfeleket, hogy azonnal változtassák meg a jelszavukat. SMS-es azonosítás helyett pedig hardveres biztonsági tokeneket javasolnak a felhasználóiknak. És hát a cikk végén álljon itt a mindenkori figyelmeztetés, hogy senki semmilyen phishing e-mailnek ne dőljön be, bármennyire is megbízhatónak tűnik.