pertukaran Coinbase, bitcoin utama, dan bitcoin utama, berasaskan Bitcoin , hari ini mendedahkan bahawa penggodam dapat memintas mekanisme pengesahan berbilang faktor SMS syarikat dan mencuri dana daripada 6,000 pengguna, Bleeping Computer melaporkan.
Pelanggaran akaun pelanggan Coinbase berlaku antara Mac dan 20 Mei 2021, dalam kempen penggodaman yang menggabungkan penipuan pancingan data dan kerentanan mengeksploitasi langkah-langkah keselamatan syarikat.
Pertukaran yang berpusat di AS, yang mempunyai sekitar 68 juta pengguna dari lebih dari 100 negara, dilaporkan mengatakan bahawa untuk melakukan serangan itu, penggodam perlu mengetahui alamat e-mel, kata laluan, dan nombor telefon pengguna, serta ha mempunyai akses ke akaun e-mel mereka. Tidak jelas bagaimana penggodam memperoleh akses ke maklumat tersebut.
“Dalam kejadian ini, bagi pelanggan yang menggunakan teks SMS untuk pengesahan dua faktor, pihak ketiga memanfaatkan kekurangan dalam Pemulihan Akaun SMS Coinbase proses untuk menerima token pengesahan dua faktor SMS dan mendapatkan akses ke akaun anda,”kata Coinbase kepada pelanggan di pemberitahuan elektronik .
Selain mencuri dana, penggodam juga mendedahkan maklumat peribadi pelanggan,”termasuk nama penuh, alamat e-mel, rumah mereka alamat, tarikh lahir, alamat IP untuk aktiviti akaun, sejarah transaksi, pemegangan akaun, dan baki,”menurut laporan.
Keselamatan harus menjadi keutamaan untuk perkhidmatan dalam talian, tetapi terutama untuk perkhidmatan kewangan. Syarikat yang berurusan dengan wang pelanggan, sama ada dalam USD atau cryptocurrency, tidak boleh sama sekali menawarkan SMS sebagai pilihan pemulihan kerana ia adalah yang paling mudah dieksploitasi . Apabila mereka melakukannya, pengguna harus jangan menggunakan SMS untuk pemulihan akaun atau pengesahan pelbagai faktor.
Pilihan yang lebih baik untuk melindungi akaun anda adalah sasaran aplikasi pengesahan dan perkakasan fizikal seperti YubiKeys . Lebih penting lagi, anda boleh dan harus melindungi akaun anda dengan kata laluan yang kuat dan pengurus kata laluan yang sesuai seperti Bitwarden.
Meskipun demikian, pengguna juga dapat mengambil kembali kedaulatan mereka dengan memilih sama sekali tidak memilih perkhidmatan terpusat. Pertukaran Bitcoin seperti Coinbase mewakili satu titik kegagalan, dengan berkesan menjadi pusat pemanfaatan data, tanpa mengira piawaian keselamatan yang mereka dakwa. Penjaga dan penyedia terpusat sering dieksploitasi ; ada alternatif yang terdesentralisasi dan harus dimanfaatkan. Berfikirlah dengan teliti sebelum menyerahkan maklumat peribadi anda kepada pihak ketiga.
