Pojawiły się nowe informacje o błędzie związanym z uwierzytelnianiem wieloskładnikowym (MFA), przez który hakerzy przejęli kryptowaluty z kont należących do sześciu tysięcy użytkowników.
Do kradzieży doszło w drugim kwartale tego roku. Na razie nie ujawniono przybliżonej wartości skradzionych środków.
Co to jest MFA?
MFA to uwierzytelnianie wieloskładnikowe, dzięki któremu można lepiej zabezpieczyć konta. Nie chodzi wyłącznie o giełdy kryptowalut, ale również o pocztę e-mail (Gmail), portale społecznościowe (Facebook) i wiele innych serwisów. Jako MFA można najczęściej wybrać kod SMS lub aplikację typu Authenticator (popularne są między innymi rozwiązania Google i Microsoftu).
Problem w tym, że pomimo wielu ostrzeżeń przed korzystaniem z weryfikacji SMS (brak szyfrowania, ryzyko phishingu, oszustwo na duplikat karty SIM), internauci wciąż bazują na tym rozwiązaniu. W przypadku 6000 klientów Coinbase doprowadziło to do utraty środków.
Hakerzy ukradli środki z Coinbase
Użytkownicy giełdy Coinbase, którzy pomiędzy marcem a majem stracili swoje kryptowaluty, korzystali z MFA w formie zwykłych SMS. Pozwoliło to hakerom wykorzystać błąd związany z procesem odzyskiwania dostępu do konta. Hakerzy znali adresy e-mail, hasła i numery telefonów swoich ofiar. Na razie nie ujawniono, w jaki sposób przestępcom udało się uzyskać dostęp do tych danych.
Giełda Coinbase odkryła lukę w systemie, która pozwoliła hakerom wykraść środki, co pozwala mieć nadzieję, że w przyszłości nie będą mogli skorzystać z tej metody.
Na wszelki wypadek (przypominamy, że dotyczy to nie tylko giełd kryptowalut) warto pomyśleć o zmianie weryfikacji SMS na aplikację Authenticator lub token sprzętowy. Wybierając weryfikację kodem z aplikacji, trzeba oczywiście pamiętać o zachowaniu wygenerowanego na początku klucza, który w razie potrzeby pozwoli dostać się do konta również wtedy, gdy utraci się dostęp do smartfona wykorzystywanego w procesie weryfikacji.
Kolejne problemy Coinbase
Tym razem problem dotknął 6000 użytkowników, którzy stracili swoje środki. Nie jest to jednak pierwsza stresująca sytuacja dla osób korzystających z Coinbase. Więcej informacji znajdziesz w artykule: Panika i złość użytkowników Coinbase po omyłkowym wysłaniu powiadomienia o zresetowaniu 2FA.