總部位於美國的主要比特幣和加密貨幣交易所Coinbase 今天披露,一名黑客能夠繞過該公司的SMS 多因素身份驗證機制並從6,000 名用戶那裡竊取資金, 嗶嗶電腦 報導。
Coinbase 客戶帳戶的洩露發生在2021 年3 月至5 月20 日之間,這是一場結合網絡釣魚詐騙和公司安全措施漏洞利用的黑客活動。
據報導,這家總部位於美國的交易所擁有來自100 多個國家/地區的約6800 萬用戶,據報導,為了進行攻擊,黑客需要知道用戶的電子郵件地址、密碼和電話號碼,並且可以訪問他們的電子郵件帳戶。目前尚不清楚黑客是如何獲得這些信息的。
“在這次事件中,對於使用SMS 文本進行雙因素身份驗證的客戶,第三方利用Coinbase 的SMS 帳戶恢復過程中的一個缺陷來接收SMS 兩因素身份驗證令牌並獲得對您帳戶的訪問權限,” Coinbase 告訴客戶 電子通知.
報告稱,除了竊取資金外,黑客還暴露了客戶的個人信息,“包括他們的全名、電子郵件地址、家庭地址、出生日期、賬戶活動的IP 地址、交易歷史、賬戶持有量和余額”。
安全應該是在線服務的首要任務,但對於金融服務尤其如此。以美元或加密貨幣處理客戶資金的公司根本不應提供SMS 作為恢復選項,因為它是最 容易被利用. 當他們這樣做時, 用戶應避免使用短信 用於帳戶恢復或多因素身份驗證。
保護您的帳戶的更好選擇是 身份驗證應用程序 和物理硬件,例如 YubiKeys. 更重要的是,您可以而且應該保護您的帳戶 強密碼 和合適的 密碼管理器 像比特沃登。
儘管如此,用戶也可以通過完全退出中心化服務來收回他們的主權。像Coinbase 這樣的比特幣交易所代表了單點故障,有效地成為數據利用的溫床,無論他們聲稱遵守的安全標準如何。集中保管人和提供者 經常被利用; 存在分散的替代方案,應該加以利用。思考 非常小心 在將您的個人信息交給第三方之前。