Hackers roban a miles de clientes de Coinbase utilizando una falla de MFA

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El exchange de criptomonedas Coinbase reveló que un actor de amenazas robó criptomonedas a 6.000 clientes después de usar una vulnerabilidad para eludir la función de seguridad de autenticación multifactor de SMS de la empresa.

Coinbase es el segundo intercambio de criptomonedas más grande del mundo, con aproximadamente 68 millones de usuarios de más de 100 países.

En una notificación enviada a los clientes afectados esta semana, Coinbase explica que entre marzo y el 20 de mayo de 2021, un actor de amenazas llevó a cabo una campaña de piratería para violar las cuentas de los clientes de Coinbase y robar criptomonedas.

Para llevar a cabo el ataque, Coinbase dice que los atacantes necesitaban conocer la dirección de correo electrónico, la contraseña y el número de teléfono del cliente asociados con su cuenta de Coinbase y tener acceso a la cuenta de correo electrónico de la víctima.

Si bien se desconoce cómo los actores de amenazas obtuvieron acceso a esta información, Coinbase cree que fue a través de campañas de phishing dirigidas a los clientes de Coinbase para robar las credenciales de las cuentas, que se han vuelto comunes. Además, también se sabe que los troyanos bancarios utilizados tradicionalmente para robar cuentas bancarias en línea roban cuentas de Coinbase.

Error de MFA permitió el acceso a las cuentas

Incluso si un pirata informático tiene acceso a las credenciales y a la cuenta de correo electrónico de un cliente de Coinbase, normalmente se le impide iniciar sesión en una cuenta si un cliente tiene habilitada la autenticación multifactor.

En la guía de Coinbase sobre la protección de cuentas, recomiendan habilitar la autenticación de múltiples factores (MFA) utilizando claves de seguridad, contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto SMS.

Sin embargo, Coinbase afirma que existía una vulnerabilidad en el proceso de recuperación de su cuenta de SMS, lo que permite a los piratas informáticos obtener el token de autenticación de dos factores de SMS necesario para acceder a una cuenta segura.

"Incluso con la información descrita anteriormente, se requiere autenticación adicional para acceder a su cuenta de Coinbase", explicó una notificación de Coinbase a los clientes.

"Sin embargo, en este incidente, para los clientes que utilizan mensajes de texto SMS para la autenticación de dos factores, el tercero se aprovechó de una falla en el proceso de recuperación de la cuenta por SMS de Coinbase para recibir un token de autenticación de dos factores por SMS y obtener acceso a su cuenta. "

Una vez que se enteraron del ataque, Coinbase afirma que arreglaron los "protocolos de recuperación de cuentas de SMS" para evitar eludir la autenticación multifactor de SMS.

Como el actor de la amenaza también tenía acceso completo a una cuenta, también se expuso la información personal de los clientes, incluido su nombre completo, dirección de correo electrónico, domicilio, fecha de nacimiento, direcciones IP para la actividad de la cuenta, historial de transacciones, tenencias de cuentas y saldos.

Como el error de Coinbase permitió a los actores de amenazas acceder a lo que se creía que eran cuentas seguras, el intercambio está depositando fondos en las cuentas afectadas iguales a la cantidad robada.

"Depositaremos fondos en su cuenta equivalentes al valor de la moneda que se eliminó incorrectamente de su cuenta en el momento del incidente. Algunos clientes ya han sido reembolsados; nos aseguraremos de que todos los clientes afectados reciban el valor total de lo que perdió.Debería ver esto reflejado en su cuenta a más tardar hoy ", prometió Coinbase.

No está claro si Coinbase acreditará a los clientes pirateados la criptomoneda que fue robada o la moneda fiduciaria. Si es moneda fiduciaria, podría conducir a un evento imponible para las víctimas si tuvieran un aumento en las ganancias.

Los clientes que se vieron afectados por este ataque pueden comunicarse con Coinbase para obtener más información sobre lo que se está haciendo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta