4 oct. 2021

Ciberdelincuentes roban a miles de clientes de Coinbase utilizando una falla MFA

El exchange de criptomonedas Coinbase reveló que robaron criptomonedas a 6.000 clientes después de usar una vulnerabilidad para eludir la función de seguridad de autenticación multifactor de SMS de la compañía.

Coinbase es la segunda plataforma de criptomonedas más grande del mundo, con aproximadamente 68 millones de usuarios de más de 100 países.

En una notificación enviada a los clientes afectados esta semana, Coinbase explica que entre marzo y mayo de 2021 un ciberdelincuente llevó a cabo una campaña para violar las cuentas de los clientes y robar criptomonedas.

Para llevar a cabo el ataque, Coinbase dice que los atacantes necesitaban conocer la dirección de correo electrónico, la contraseña y el número de teléfono del cliente asociados con su cuenta de Coinbase y tener acceso a la cuenta de correo electrónico de la víctima.

Si bien se desconoce cómo los actores obtuvieron acceso a esta información, las campañas de phishing dirigidas a los clientes de Coinbase para robar las credenciales de las cuentas se han vuelto comunes. Además, también se sabe que los troyanos bancarios utilizados tradicionalmente para robar cuentas bancarias en línea roban cuentas de Coinbase

El error de MFA que permitió el acceso a las cuentas

Incluso si un usuario malintencionado tiene acceso a las credenciales y la cuenta de correo electrónico de un cliente de Coinbase, normalmente se le impide iniciar sesión en una cuenta si un cliente tiene habilitada la autenticación de múltiples factores.

En la guía de Coinbase sobre la protección de cuentas, recomiendan habilitar la autenticación de múltiples factores (MFA) utilizando claves de seguridad, contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto SMS.

Sin embargo, la empresa afirma que existía una vulnerabilidad en el proceso de recuperación de su cuenta de SMS, lo que permitió a los delincuentes obtener el token de autenticación de dos factores de SMS necesario para acceder a una cuenta segura.

"Incluso con la información descrita anteriormente, se requiere autenticación adicional para acceder a su cuenta de Coinbase", explicó una notificación de Coinbase. "Sin embargo, en este incidente, para los clientes que utilizan mensajes de texto SMS para la autenticación de dos factores, el tercero se aprovechó de una falla en el proceso de recuperación de la cuenta por SMS de Coinbase para recibir un token de autenticación de dos factores por SMS y obtener acceso a su cuenta."

Como el atacante también tenía acceso completo a una cuenta, la información personal de los clientes también estaba expuesta, incluido su nombre completo, dirección de correo electrónico, domicilio, fecha de nacimiento, direcciones IP para la actividad de la cuenta, historial de transacciones, tenencias de cuentas y saldos.

Como el error de Coinbase permitió a los actores de amenazas acceder a lo que se creía que eran cuentas seguras, el intercambio está depositando fondos en las cuentas afectadas iguales a la cantidad robada.

"Depositaremos fondos en su cuenta equivalentes al valor de la moneda que se eliminó incorrectamente de su cuenta en el momento del incidente. Algunos clientes ya han sido reembolsados; nos aseguraremos de que todos los clientes afectados reciban el valor total de lo que perdió.", prometió Coinbase.

No está claro si acreditarán a los clientes la criptomoneda que fue robada o la moneda fiduciaria. Si es moneda fiduciaria, podría conducir a un evento imponible para las víctimas si tuvieran un aumento en las ganancias.

Lo que deben hacer las víctimas de Coinbase

Dado que el ataque requirió la contraseña tanto de Coinbase como de la cuenta de correo electrónico del cliente, se recomienda encarecidamente que las víctimas cambien sus contraseñas de inmediato.

También recomiendan a los usuarios cambiar a un método MFA más seguro, como una clave de seguridad de hardware o una aplicación de autenticación.

Finalmente, las víctimas deben estar atentas a futuros correos electrónicos de phishing o mensajes de texto SMS que intenten robar credenciales utilizando información expuesta en la infracción.

Esta no es la primera vez que un error en el sistema MFA de Coinbase causa problemas a sus clientes.

alertóaccidentalmente a 125 mil clientes sobre una modificación en sus configuraciones 2FA, causando pánico entre quienes recibieron la alerta.

Fuente: BleepingComputer

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!