Błąd uwierzytelniania wieloskładnikowego na Coinbase

3 610

Pojawiły się nowe informacje o błędzie związanym z uwierzytelnianiem wieloskładnikowym (MFA), przez który hakerzy przejęli kryptowaluty z kont należących do sześciu tysięcy użytkowników.

Do kradzieży doszło w drugim kwartale tego roku. Na razie nie ujawniono przybliżonej wartości skradzionych środków.

Co to jest MFA?

MFA to uwierzytelnianie wieloskładnikowe, dzięki któremu można lepiej zabezpieczyć konta. Nie chodzi wyłącznie o giełdy kryptowalut, ale również o pocztę e-mail (Gmail), portale społecznościowe (Facebook) i wiele innych serwisów. Jako MFA można najczęściej wybrać kod SMS lub aplikację typu Authenticator (popularne są między innymi rozwiązania Google i Microsoftu).

Problem w tym, że pomimo wielu ostrzeżeń przed korzystaniem z weryfikacji SMS (brak szyfrowania, ryzyko phishingu, oszustwo na duplikat karty SIM), internauci wciąż bazują na tym rozwiązaniu. W przypadku 6000 klientów Coinbase doprowadziło to do utraty środków.

Hakerzy ukradli środki z Coinbase

Użytkownicy giełdy Coinbase, którzy pomiędzy marcem a majem stracili swoje kryptowaluty, korzystali z MFA w formie zwykłych SMS. Pozwoliło to hakerom wykorzystać błąd związany z procesem odzyskiwania dostępu do konta. Hakerzy znali adresy e-mail, hasła i numery telefonów swoich ofiar. Na razie nie ujawniono, w jaki sposób przestępcom udało się uzyskać dostęp do tych danych.

Giełda Coinbase odkryła lukę w systemie, która pozwoliła hakerom wykraść środki, co pozwala mieć nadzieję, że w przyszłości nie będą mogli skorzystać z tej metody.

Na wszelki wypadek (przypominamy, że dotyczy to nie tylko giełd kryptowalut) warto pomyśleć o zmianie weryfikacji SMS na aplikację Authenticator lub token sprzętowy. Wybierając weryfikację kodem z aplikacji, trzeba oczywiście pamiętać o zachowaniu wygenerowanego na początku klucza, który w razie potrzeby pozwoli dostać się do konta również wtedy, gdy utraci się dostęp do smartfona wykorzystywanego w procesie weryfikacji.

Kolejne problemy Coinbase

Tym razem problem dotknął 6000 użytkowników, którzy stracili swoje środki. Nie jest to jednak pierwsza stresująca sytuacja dla osób korzystających z Coinbase. Więcej informacji znajdziesz w artykule: Panika i złość użytkowników Coinbase po omyłkowym wysłaniu powiadomienia o zresetowaniu 2FA.

Komentarze