Blog by Root View

Encontrá todas las novedades sobre la ciberseguridad, infraestructura y desarrollo.

Piratas informáticos roban a miles de clientes de Coinbase utilizando una falla de MFA

El exchange de criptomonedas Coinbase reveló que un actor de amenazas robó criptomonedas a 6.000 clientes después de usar una vulnerabilidad para eludir la función de seguridad de autenticación multifactor de SMS de la compañía.

Coinbase es el segundo intercambio de criptomonedas más grande del mundo, con aproximadamente 68 millones de usuarios de más de 100 países.

En una notificación enviada a los clientes afectados esta semana, Coinbase explica que entre marzo y el 20 de mayo de 2021, un actor de amenazas llevó a cabo una campaña de piratería para violar las cuentas de los clientes de Coinbase y robar criptomonedas.

Para llevar a cabo el ataque, Coinbase dice que los atacantes necesitaban conocer la dirección de correo electrónico, la contraseña y el número de teléfono del cliente asociados con su cuenta de Coinbase y tener acceso a la cuenta de correo electrónico de la víctima.

Si bien se desconoce cómo los actores de amenazas obtuvieron acceso a esta información, Coinbase cree que fue a través de campañas de phishing dirigidas a los clientes de Coinbase para robar las credenciales de las cuentas, que se han vuelto comunes. Además, también se sabe que los troyanos bancarios utilizados tradicionalmente para robar cuentas bancarias en línea roban cuentas de Coinbase.

El error de MFA permitió el acceso a las cuentas

Incluso si un pirata informático tiene acceso a las credenciales y la cuenta de correo electrónico de un cliente de Coinbase, normalmente se le impide iniciar sesión en una cuenta si un cliente tiene habilitada la autenticación multifactor.

En la guía de Coinbase sobre la protección de cuentas, recomiendan habilitar la autenticación multifactor (MFA) utilizando claves de seguridad, contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto SMS.

Sin embargo, Coinbase afirma que existía una vulnerabilidad en el proceso de recuperación de su cuenta de SMS, lo que permite a los piratas informáticos obtener el token de autenticación de dos factores de SMS necesario para acceder a una cuenta segura.

“Incluso con la información descrita anteriormente, se requiere autenticación adicional para acceder a su cuenta de Coinbase”, explicó una notificación de Coinbase a los clientes que vio BleepingComputer.

“Sin embargo, en este incidente, para los clientes que utilizan mensajes de texto SMS para la autenticación de dos factores, el tercero se aprovechó de una falla en el proceso de recuperación de la cuenta de SMS de Coinbase para recibir un token de autenticación de dos factores por SMS y obtener acceso a su cuenta. . “

Una vez que se enteraron del ataque, Coinbase afirma que arreglaron los “protocolos de recuperación de cuentas de SMS” para evitar más eludir la autenticación multifactor de SMS.

Como el actor de la amenaza también tenía acceso completo a una cuenta, la información personal de los clientes también estaba expuesta, incluido su nombre completo, dirección de correo electrónico, domicilio, fecha de nacimiento, direcciones IP para la actividad de la cuenta, historial de transacciones, tenencias de cuentas y saldos.

Como el error de Coinbase permitió a los actores de amenazas acceder a lo que se creía que eran cuentas seguras, el intercambio está depositando fondos en las cuentas afectadas iguales a la cantidad robada.

“Depositaremos fondos en su cuenta equivalentes al valor de la moneda que se eliminó incorrectamente de su cuenta en el momento del incidente. Algunos clientes ya han sido reembolsados; nos aseguraremos de que todos los clientes afectados reciban el valor total de lo que perdió. . Debería ver esto reflejado en su cuenta a más tardar hoy “, prometió Coinbase.

No está claro si Coinbase acreditará a los clientes pirateados la criptomoneda que fue robada o la moneda fiduciaria. Si es moneda fiduciaria, podría conducir a un evento imponible para las víctimas si tuvieran un aumento en las ganancias.

Coinbase compartió la siguiente declaración cuando solicitamos más información sobre los ataques. Sin embargo, no proporcionaron más información sobre la falla de SMS MFA que solucionaron.

Lo que deben hacer las víctimas de Coinbase

Dado que el ataque requirió la contraseña tanto de Coinbase como de la cuenta de correo electrónico del cliente, se recomienda encarecidamente que las víctimas cambien sus contraseñas de inmediato.

Coinbase también recomienda a los usuarios cambiar a un método MFA más seguro, como una clave de seguridad de hardware o una aplicación de autenticación.

Finalmente, las víctimas deben estar atentas a futuros correos electrónicos de phishing o mensajes de texto SMS que intenten robar credenciales utilizando información expuesta en la infracción.

Esta no es la primera vez que un error en el sistema MFA de Coinbase causa problemas a sus clientes.

En agosto, Coinbase alertó accidentalmente a 125,000 clientes que su configuración de 2FA había sido cambiada, causando pánico entre quienes recibieron la alerta.

Fuente: Bleeping Computer

Total
1
Shares
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Prev
Patcheá Google Chrome para solucionar 2 nuevos bugs zero day explotados activamente

Patcheá Google Chrome para solucionar 2 nuevos bugs zero day explotados activamente

Google impulsó el jueves arreglos de seguridad urgentes para su navegador

Next
Ransomware cifra los servidores VMware ESXi con script de Python

Ransomware cifra los servidores VMware ESXi con script de Python

Operadores de una banda de ransomware desconocida están utilizando un script de

También te podría gustar...
Total
1
Share