你覺得交易所帳號的 2FA 驗證安全無虞嗎?Coinbase 近日向用戶發出警告信,稱今年 3~5 月間駭客透過社交工程盜走用戶個資與 Email 帳密,藉此通過 2FA 驗證機制,至少 6,000 多人的資產被偷。對此 Coinbase 官方表示願意補償用戶損失金額,更已升級相關驗證程序,建議用戶安裝 2FA 驗證 App、莫再使用 Email 或簡訊驗證。
(前情提要:Coinbase致歉!錯誤通知12萬用戶2FA被改動,有人恐慌急賣6萬鎂BTC)
全球首間在美上市的加密交易所 Coinbase 近來向用戶發布了一封外洩警告信,稱今年 3 ~ 5 月間駭客透過 SMS 驗證環節的漏洞盜取帳號所有權,至少六千人資產被盜,Coinbase 官方承諾補償資金給受害者,也呼籲用戶將 2FA 改為驗證 App 或是外部硬體。
2FA 很安全?繞過它就行
Coinbase 向收到警告信的用戶表示,今年 3 ~ 5 月該用戶的帳號暴露在駭客的非法存取之下,這波攻擊盜走了許多人的資產,受害者至少超過 6,000 人。而根據 Coinbase 在信件中稱受害用戶「您的居住國別」用詞來看,恐怕受害區域遍及全球、而非限於單一區域。
儘管加密交易所採取 2FA 驗證已是標配,但駭客事先已透過社交工程釣魚或是其他管道來取得用戶的 Email 帳密、手機號碼等資訊;有些歹徒更是透過釣魚信引導用戶安裝惡意軟體,得以在不驚動用戶的情況下瀏覽用戶的 Email 內容、甚至更多。
駭客藉此重設/登入 Coinbase 密碼,並透過受害人 Email 或簡訊收取驗證碼,成功在不與 2FA 機制正面衝突的情況下取得受害者的 Coinbase 帳號所有權;Coinbase 稱官方的伺服器、服務平台本身並未遭駭。
願補償用戶損失,建議裝 2FA 驗證器、密碼管理軟體
Coinbase 警告用戶稱若駭客已能存取用戶帳號,則代表用戶的姓名、地址、IP 位址、生日、交易紀錄和資產配置都有可能被看光光。為補償用戶損失,Coinbase 提供專責客服電話讓用戶諮詢,協助用戶取回帳號所全並將打幣至用戶帳號、彌補被盜款項。
Coinbase 雖稱在事發後已經升級了 SMS 驗證協議,防止類似的情困再次發生,但還是建議用戶將 2FA 改為驗證器 App 或是外部身分驗證硬體,捨棄現有的簡訊、Email 驗證,把交易所登入管道限縮在用戶身邊,Coinbase 也指出密碼管理 App 是不錯的選項,因為其不只可生成強密碼,還可協助用戶判斷是否被引導至釣魚網站。
為什麼拖到現在才公布?
事件已發生逾半年,8 月時外媒 CNBC 也報導一位自 2017 年便投資加密資產的 Coinbase 用戶 Tanja Vidovic 的 16.8 萬美元遭一夕盜光,當時 Tanja Vidovic 無奈的表示他試圖聯繫 Coinbase,卻求助無門,使得 Coinbase 遭質疑為何現在才對用戶公布攻擊事件。
對此,官方表示是為了不干預正在調查的執法單位:
由於該犯罪活動的規模、範圍和復雜性,
我們一直在與一系列合作夥伴、執法機構和相關單位合作,了解攻擊並研究反制方法。
在適當地防範措施確保攻擊不會再度發生、且不會干預到執法調查時,我們才會公開批露攻擊。
📍相關報導📍
怒告駭客的英國父母!男子遭駭2,200萬比特幣不甘心,欲提跨海訴訟
逃不了關係!英國法院「命令幣安」追蹤加密貨幣駭客,再點其「未註冊」經營
Coinbase :「我們做了艱難的決定」應SEC警告,撤回穩定幣借貸理財、數十萬人已註冊
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
