El destacado intercambio de criptomonedas Coinbase reveló que una entidad maliciosa logró eludir el mecanismo de autenticación multifactor de SMS de la empresa y desviar fondos de 6.000 usuarios.
Según los informes de Bleeping Computer, la violación de seguridad masiva de las cuentas de los clientes de Coinbase tuvo lugar entre marzo y el 20 de mayo de este año. Todo el fiasco de la piratería involucró estafas de phishing, así como una gran vulnerabilidad, en las medidas de seguridad de la empresa.
En una notificación enviada a los usuarios, Coinbase afirmó que los piratas informáticos requieren la dirección de correo electrónico, la contraseña y el número de teléfono del usuario asociados con su cuenta de Coinbase y tienen acceso a la cuenta de correo electrónico de la víctima para llevar a cabo el ataque.
Sin embargo, el intercambio de cifrado no reveló cómo los piratas informáticos obtuvieron la información, pero especularon que podrían haber robado las credenciales de las cuentas de las campañas de phishing que son rampantes en la industria.
¿El troyano bancario TrickBot comprometió los detalles del usuario de Coinbase?
Si bien no existe una confirmación oficial de lo mismo, es importante comprender que se ha informado anteriormente que el troyano bancario TrickBot ha agregado soporte para robar fondos almacenados en las cuentas de Coinbase.com.
El troyano bancario TrickBot es esencialmente una cepa de malware que se identificó por primera vez en 2016. Varios expertos habían especulado anteriormente que fue creado por algunos de los desarrolladores que trabajaron en el troyano bancario Dyre, que resulta ser otro malware que recopila información apuntando en línea sitios bancarios. Los operadores del troyano bancario Dyre fueron arrestados a finales de 2015.
El MFA de Coinbase no llegó al rescate
Los intercambios de criptomonedas como Coinbase aprovechan los paquetes de primer nivel cuando se trata de seguridad. Uno de ellos es la autenticación multifactor, que es una capa de seguridad adicional además del nombre de usuario y la contraseña. Se requiere que un usuario de Coinbase proporcione un código de verificación único enviado a su teléfono móvil junto con su nombre de usuario y contraseña.
Por lo tanto, si un usuario tiene esta disposición habilitada, MFA evitaría que los actores malintencionados accedan a la cuenta incluso si tienen acceso a las credenciales y la cuenta de correo electrónico del usuario de Exchange.
Sin embargo, MFA falló y la vulnerabilidad que se encontró en el proceso de recuperación de su cuenta por SMS permitió a los piratas informáticos obtener el token de autenticación de dos factores por SMS que se requiere para acceder a los fondos seguros. Coinbase reveló además,
«Incluso con la información descrita anteriormente, se requiere autenticación adicional para acceder a su cuenta de Coinbase. Sin embargo, en este incidente, para los clientes que utilizan mensajes de texto para la autenticación de dos factores, el tercero se aprovechó de una falla en la cuenta de SMS de Coinbase. Proceso de recuperación para recibir un token de autenticación de dos factores por SMS y obtener acceso a su cuenta. Una vez en su cuenta, el tercero pudo transferir sus fondos a carteras criptográficas no asociadas con Coinbase «.
Reacciones de la comunidad:
El defensor de la privacidad financiera reiteró el famoso adagio: «No son sus claves, no sus criptomonedas». Incluso cuando Coinbase aseguró que reembolsaría a todos los usuarios afectados, ya se ha hecho un daño significativo.
Jameson Lopp de Casa declaró que es «negligente que cualquier servicio financiero ofrezca recuperación de cuentas por SMS».
https://twitter.com/SilvermanJacob/status/1443960854072987651