Coinbase Multi-Factor Authentication Hack Affects at Least 6,000 Customers

Coinbase Multi-Factor Authentication Hack Affects at Least 6,000 Customers

Một lỗ hổng đã cho phép tin tặc lấy mã xác thực hai yếu tố SMS của khách hàng và đột nhập vào tài khoản của họ

Một lỗ hổng cho phép tin tặc vượt qua tùy chọn SMS xác thực đa yếu tố của Coinbase đã ảnh hưởng đến ít nhất 6.000 khách hàng của sàn giao dịch, theo một bức thư thông báo được gửi tới các khách hàng bị ảnh hưởng mà công ty đã gửi cho các văn phòng tổng chưởng lý bang California.

  • Trong khoảng thời gian từ tháng 3 đến ngày 20 tháng 5, tin tặc hoặc tin tặc đã sử dụng một lỗ hổng trong quy trình khôi phục tài khoản của Coinbase để lấy mã thông báo xác thực hai yếu tố SMS để đột nhập vào tài khoản của khách hàng và chuyển tiền ra khỏi họ.
  • Kẻ xấu cũng có quyền truy cập vào địa chỉ email, mật khẩu và số điện thoại được liên kết với mỗi tài khoản Coinbase. Coinbase tin rằng tin tặc đã đánh cắp các thông tin đăng nhập đó thông qua một kế hoạch lừa đảo và lưu ý trong thư gửi California AG rằng họ không tìm thấy bằng chứng về việc tin tặc lấy thông tin này từ chính Coinbase.
  • “Chúng tôi đã hành động ngay lập tức để giảm thiểu tác động của chiến dịch bằng cách làm việc với các đối tác bên ngoài để xóa các trang web lừa đảo khi chúng được xác định, cũng như thông báo cho các nhà cung cấp email bị ảnh hưởng”, người phát ngôn của Coinbase cho biết qua email. “Thật không may, chúng tôi tin rằng, mặc dù không thể xác định một cách chắc chắn, một số khách hàng của Coinbase có thể đã trở thành nạn nhân của chiến dịch lừa đảo và đã chuyển thông tin đăng nhập Coinbase và số điện thoại được xác minh trong tài khoản của họ cho những kẻ tấn công.”
  • Coinbase cho biết họ đang bồi thường cho khách hàng về số tiền bị đánh cắp, nhưng không rõ liệu các khoản thanh toán đó được thực hiện bằng tiền pháp định hay tiền điện tử.
  • Sàn giao dịch khuyến nghị người dùng nên chuyển sang phiên bản xác thực đa yếu tố an toàn hơn, chẳng hạn như khóa bảo mật phần cứng hoặc ứng dụng xác thực.
  • Đây dường như là một trong những vi phạm lớn nhất đã ảnh hưởng đến Coinbase. Các vi phạm đáng chú ý khác bao gồm trục trặc mật khẩu vào tháng 8 năm 2019 đã lưu trữ 3.500 mật khẩu của khách hàng ở dạng văn bản thuần túy trên nhật ký máy chủ nội bộ, mặc dù các bên bên ngoài không lợi dụng lỗ hổng này. Trong cùng tháng, Coinbase đã tiết lộ chi tiết về một cuộc tấn công tinh vi đã bị Coinbase chặn nhưng điều đó giống với những gì thường xảy ra trong một cuộc tấn công do nhà nước tài trợ.

Henry Sun

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.