كشفت Coinbase ، وهي منصة تبادل رئيسية للبيتكوين والعملات المشفرة مقرها الولايات المتحدة ، اليوم أن أحد المتسللين تمكن من تجاوز آلية المصادقة متعددة العوامل اختراق مصادقة COINBASE عبر الرسائل النصية القصيرة للشركة وسرقة الأموال من 6000 مستخدم ، حسبما أفاد بليبينج كمبيوتر .
تاريخ حدوث الاختراق
حدث خرق حسابات عملاء Coinbase ( اختراق مصادقة COINBASE ) بين مارس و 20 مايو 2021 ، في حملة قرصنة جمعت بين عمليات التصيد الاحتيالي واستغلال الثغرات الأمنية في التدابير الأمنية للشركة.
وبحسب ما ورد قالت المنصة التي تتخذ من الولايات المتحدة مقراً لها ، والتي لديها ما يقرب من 68 مليون مستخدم من أكثر من 100 دولة ، إنه من أجل شن الهجوم ، يحتاج المتسللون إلى معرفة عنوان البريد الإلكتروني للمستخدم وكلمة المرور ورقم الهاتف ، فضلاً عن إمكانية الوصول إلى حسابات بريدهم الإلكتروني. ليس من الواضح كيف تمكن المتسللون من الوصول إلى تلك المعلومات.
طرف ثالث مستفيد من وجود خلل في عملية استرداد حساب الرسائل القصيرة
“في هذه الحادثة( اختراق مصادقة COINBASE ) ، بالنسبة للعملاء الذين يستخدمون الرسائل النصية القصيرة للمصادقة ذات العاملين ، استفاد الطرف الثالث من وجود خلل في عملية استرداد حساب الرسائل القصيرة في Coinbase من أجل تلقي رمز مصادقة ثنائية الرسائل النصية القصيرة والوصول إلى حسابك ،” أخبر Coinbase العملاء في إشعارات إلكترونية .
تسريب المعلومات الشخصية للعملاءفي حادثة ( اختراق مصادقة COINBASE )
بالإضافة إلى سرقة الأموال ، كشف المتسللون أيضًا عن المعلومات الشخصية للعملاء ، “بما في ذلك الاسم الكامل وعنوان البريد الإلكتروني وعنوان المنزل وتاريخ الميلاد وعناوين IP لنشاط الحساب وسجل المعاملات ومقتنيات الحسابات والأرصدة” وفقًا للتقرير.
الرسائل القصيرة الخيار الاكثر سهولة في الاستغلال
يجب أن يكون الأمان أولوية للخدمات عبر الإنترنت ، ولكن بشكل خاص للخدمات المالية. يجب على الشركات التي تتعامل مع أموال العملاء ، سواء بالدولار الأمريكي أو بالعملة المشفرة ، ألا تقدم الرسائل القصيرة كخيار استرداد على الإطلاق لأنها الأكثر سهولة في الاستغلال . وعندما يفعلون ذلك ، يجب على المستخدمين الامتناع عن استخدام الرسائل القصيرة لاستعادة الحساب أو المصادقة متعددة العوامل.
ضرورة حماية الحساب من الاختراق ( اختراق مصادقة COINBASE )
أفضل الخيارات لحماية حسابك هي تطبيقات المصادقة والأجهزة المادية مثل YubiKeys . والأهم من ذلك ، أنه يمكنك ويجب عليك حماية حساباتك بكلمات مرور قوية ومدير كلمات مرور مناسب مثل Bitwarden.
فكر مليًا قبل تسليم معلوماتك الشخصية إلى طرف ثالث
ومع ذلك ، يمكن للمستخدمين أيضًا استعادة سيادتهم عن طريق إلغاء الاشتراك في الخدمات المركزية تمامًا. تمثل عمليات تبادل البيتكوين مثل Coinbase نقطة فشل واحدة ، حيث أصبحت بشكل فعال مرتعًا لاستغلال البيانات ، بغض النظر عن معايير الأمان التي يزعمون أنهم يعيشون بها. غالبًا ما يتم استغلال أمناء ومقدمي الخدمات المركزيين ؛ البدائل اللامركزية موجودة ويجب الاستفادة منها. فكر مليًا قبل تسليم معلوماتك الشخصية إلى طرف ثالث.