Издание Bleeping Computer сообщило, что криптовалютная биржа Coinbase уведомила около 6000 клиентов о том, что их аккаунты были взломаны из-за уязвимости в системе многофакторной аутентификации. С марта по май 2021 года неизвестные злоумышленники проникали в чужие учетные записи ради кражи криптовалюты.
Coinbase — вторая по величине криптовалютная биржа в мире, которой пользуются около 68 миллионов человек более чем из 100 стран мира.
Масштабы случившегося не очень велики, так как атаку нельзя назвать простой. Для успешного взлома хакерам необходимо было знать адрес электронной почты жертвы, ее пароль и номер телефона, связанные с учетной записью Coinbase, а также иметь доступ к почтовому ящику цели.
Пока неясно, как злоумышленники получили доступ ко всей этой информации, но фишинговые кампании, нацеленные на пользователей Coinbase, в последнее время стали обычным явлением, а многие банковские трояны «научились» воровать учтенные данные криптовалютных бирж.
Даже в том случае, когда злоумышленники располагали всеми необходимыми данными, доступ к чужим средствам все равно защищала многофакторная аутентификация (МФА). Coinbase рекомендует всем пользователям использовать МФА посредством аппаратных ключей безопасности, одноразовых паролей из специальных приложений для аутентификации (Time-based One Time Passwords) или, в крайнем случае, текстовых SMS-сообщений.
Как оказалось, в процедуре восстановления учетной записи посредством SMS присутствовала уязвимость, позволявшая хакерам получить токен двухфакторной аутентификации, необходимый для доступа к аккаунту.
«В ходе этого инцидента, от которого пострадали клиенты, использующие SMS для двухфакторной аутентификации, третья сторона воспользовалась уязвимостью в процессе восстановления учетной записи Coinbase посредством SMS, чтобы получить токен двухфакторной аутентификации через SMS и получить доступ к чужим учетным записям», — рассказывают представители компании.
Поскольку баг позволил злоумышленникам получить доступ к так называемым «защищенным счетам», биржа компенсирует пользователям весь нанесенный урон и разместит на пострадавших счетах средства, равные украденным суммам. «Вы должны увидеть это в своем аккаунте не позднее сегодняшнего дня», — обещает Coinbase.
Так как злоумышленники имел полный доступ к чужим аккаунтам, была раскрыта и личная информация клиентов биржи, включая полные имена, адреса электронной почты, домашние адреса, даты рождения, IP-адреса, историю транзакций, активы и остатки на счетах.
Поскольку для атаки требовался пароль от учетной записи Coinbase и почты клиента, жертвам настоятельно рекомендуется немедленно изменить пароли. Также Coinbase рекомендует всем пользователям переключиться на более безопасный метод МФА, например, аппаратный ключ или специальное приложение-аутентификатор.