Coinbase stuurde door fout melding over 2fa-wijziging naar 125.000 gebruikers

Coinbase heeft per ongeluk 125.000 gebruikers een e-mail gestuurd met de melding dat hun instellingen voor tweefactorauthenticatie waren gewijzigd, terwijl dat niet het geval was. Veel gebruikers dachten daardoor dat hun account was gehackt.

In een tijdspanne van 82 minuten werden er vrijdagavond Nederlandse tijd grofweg 125.000 meldingen aan klanten gestuurd, meldt Coinbase. Volgens de cryptovalutahandelaar ontdekte het bedrijf zelf de fout en werden de notificaties stopgezet. Een woordvoerder van Coinbase zegt tegen CNBC dat dit kwam door een interne fout en dat er geen sprake is van een hack of invloed van buitenaf.

De desbetreffende klanten kregen een e-mail met daarin de melding "Your 2-step verification settings have been changed." Sommige klanten raakten daardoor in paniek. Een Amerikaan die het bericht kreeg, vertelt tegenover CNBC dat hij dacht dat hij zijn cryptogeld kwijt zou raken en besloot om alles snel te verkopen.

Vorige week publiceerde CNBC een artikel over klachten van Coinbase-gebruikers. De nieuwszender sprak met Amerikanen die cryptovaluta verloren bij het handelsplatform, omdat hun account was overgenomen door derden. Het is niet duidelijk hoe dat gebeurde; wellicht gaat het om simswapping. Het zou ingewikkeld zijn voor de klanten om in contact te komen met Coinbase en het platform zou klachten slecht afhandelen. Coinbase heeft in totaal 68 miljoen gebruikers.

Door Julian Huijbregts

Nieuwsredacteur

31-08-2021 • 11:16

27

Reacties (27)

27
26
23
0
0
2
Wijzig sortering
Het is bekend dat simswapping een grote zwakte is van 2FA via sms, wat slecht dat er nog steeds diensten zijn die 2FA via sms aanbieden/ondersteunen.
SMS 2FA is inderdaad niet 100% veilig, maar veilig genoeg voor vrijwel iedereen. Het ding is, het kost relatief veel moeite om 1 persoon aan te vallen met die techniek, terwijl de meeste hackers graag meer als 1 persoon willen pakken. Dus een phishng email werkt al veel beter in absolute getallen dan een enkele SMS 2FA attack.
Het ding met Coinbase is dat het wel over grote bedragen kan gaan. Als ik 2 miljoen USD op m’n account heb, en dit is bekend, dan is dat wel de moeite om te targetten.
Als je 2mil usd aan crypto hebt op een exchange ben je ook niet heel slim bezig (tenzij dit een klein percentage van je portfolio is).
Wanneer het om zulke grote bedragen gaat (voor mij groot in ieder geval;)) mag ik hopen dat je een degelijke hardware wallet hebt.
Ik weet niet of je crypto Reddit volgt, maar dit komt wekelijks geregeld voor. Iemand die gekraakt is met alleen SMS aan.
Deels mee eens. Naast de SMS heb je natuurlijk ook nog het wachtwoord nodig en daar gaat het in eerste instantie dus al fout. Mensen hergebruiken de vaak simpele wachtwoorden bij andere diensten en als die gehackt worden of zo, pas dan is 2FA met SMS een gevaar.

Beste is een uniek, voor anderen ingewikkeld wachtwoord en een andere vorm van 2FA.
Het is veiliger dan het niet gebruiken van F2A wat vaak ook nog kan, pas als (SMS F2A) dat de onveiligste optie is moet daar misschien naar gekeken worden, maar zolang er nog onveiligere mogelijkheden zijn, hou deze er dan ook gewoon lekker in :)
De foutmelding ontstond doordat mensen de Rally Bitcoin quiz deden. Na vraag 1 goed beantwoord te hebben kwam de foutieve sms.

https://www.coinbase.com/price/rally

Hoe ik het weet? Tja 3 dollar is niet verkeerd 8-)
Er kwam trouwens wel snel reactie dat het een foutje was, maar ik snap de verwarring en argwaan bij gebruikers.

[Reactie gewijzigd door Powrskin op 30 juli 2024 21:20]

Dan vraag ik me af, zijn er van de 68 miljoen mensen maar 125 duizend die 2FA hebben aangezet?
Volgens de cryptovalutahandelaar ontdekte het bedrijf zelf de fout en werden de notificaties stopgezet.
Ofwel ze hadden het 'optijd' door voordat er miljoenen verstuurd werden.
Hoe kun je iets op “tijd” doorhebben als het maar 125k van je 68 mln klanten zijn?

Wat ook apart is,
In een tijdspanne van 82 minuten werden er vrijdagavond Nederlandse tijd grofweg 125.000 meldingen aan klanten gestuurd,
Stel je voor als het echt misgaat zou je met de apparatuur die ze er hebben minimaal ((68mln/125k)*82)= 44,6k minuten nodig hebben om iedereen een mailtje te versturen; ruwweg een maand.


Het is apart dat het gebeurde,
de verklaring die wordt gegeven stelt meer vragen op dan dat het beantwoordt wat het nog meer gissen maakt.
Het zou me niet verbazen als er een simulatie werd gedraaid vb maar dan ga je toch geen echte accounts gebruiken?
Stel je voor als het echt misgaat zou je met de apparatuur die ze er hebben minimaal ((68mln/125k)*82)= 44,6k minuten nodig hebben om iedereen een mailtje te versturen; ruwweg een maand.
Veel te kort door de bocht, je weet niet wat er ten grondslag ligt aan de fout. Je gaat er nu van uit dat op een bepaald moment wordt bepaald dat die melding naar iedereen verstuurd moet worden, maar dat het versturen van de daadwerkelijke mails de bottleneck is. Maar wellicht is het hele proces wat over die accounts loopt en waar de bug in zit van zichzelf al traag.
Op tijd betekent niet 'voordat er een probleem was', het betekent 'voordat het een bepaald punt bereikte'. Zoals Byron010 zegt het was op tijd om niet het gehele klantenbestand te hebben gemaild.
Nee - in het artikel staat dat ze zelf de fout ontdekten en vervolgens de notificaties stop gezet hebben
Nee, ik heb bijvoorbeeld al geen e-mail gekregen. Staat ook in het artikel:
Volgens de cryptovalutahandelaar ontdekte het bedrijf zelf de fout en werden de notificaties stopgezet
Ik dacht slim te zijn door m'n geld in een cryptohandelsplatform ipv cryptocoins zelf te steken toen coinbase 5 maanden geleden als eerste handelsplatform naar de beurs ging...

Dan wil je dit soort dingen natuurlijk niet horen, al is het op zich positief dat ze er zo snel zelf bovenop zitten, 125.000 klinkt in eerste instantie als een groot getal, maar als ze 68 miljoen gebruikers hebben is het nog geen 0.2%.

De koers lijkt er gelukkig niet door beinvloed, sta nog maar 19.99% in de min sinds het begin :+
Als je geen daytrader bent, dan is het het verstandigst om je coins in een private wallet te houden waar alleen jij de private keys van hebt (wel goed veilig opslaan!). Nadeel is de vaak hoge transactiefees als je wel wilt gaan handelen en je coins weer naar een beurs wilt brengen.
Wat ze hieronder zeggen, van Coinbase ben ik aandeelhouder, geen gebruiker ;) Ik gebruik zelf Binance, maar die zit niet op de beurs, daarnaast heb ik dat waar ik niet mee speel in Trust Wallet.

Helaas was mijn laaste periode van traden nog minder succesvol dan mijn aandelen, sta met m'n doge/shibu en weet ik wat allemaal nog meer nog steeds op - 40% :'( :'( Maargoed, speelerij, ik wist wat de risico's waren en het gaat gelukkig maar om wat wisselgeld.

TIP: laat je niet verleiden door die pump&dump groepen op Telegram etc, kan je nu uit eigen ervaring vertellen/garanderen dat dat allemaal scams zijn, je kunt er niet op tijd genoeg bij zijn, hoe klaar je er ook voor zit :+
Ja, omdat de pump al begint voordat jij te horen krijgt waar je in moet stappen. Vervolgens stappen ze uit en lachen zich rot.

Kijk, meme coins zijn geen investering waard als je naar functionaliteit kijkt, maar doge heeft inmiddels een gigantische marketcap en als Elon echt meer gaat doen met doge, dan zou ik het vasthouden. Shibu daarentegen....

Steek je geld in fundamentals, niet in memes.
Het gaat hier niet over coins, maar over aandelen van het beursgenoteerde bedrijf Coinbase.
Hij heeft het over bedrijfsaandelen, niet over crypto, je kan aandelen Apple of Google toch ook niet in een private wallet stoppen, dat ligt altijd vast bij een (of meer) centrale partij ;)

Meeste crypto kan je inderdaad wel in een private wallet stoppen wat natuurlijk aan te raden is, maar gewone aandelen werken toch heel anders mbt dat aspect.

[Reactie gewijzigd door watercoolertje op 30 juli 2024 21:20]

En geheel toevallig komt er nu een stroom SPAM van "coinbase" om mijn identiteit te bevestigen.... Heeft dan toch best wel lang geduurd.
From: Coinbase <no-reply@coinbase.com>
Subject: U dient zich opnieuw te identificeren bij Coinbase

Hier leest u hoe u het probleem kunt oplossen, zodat u met Coinbase in crypto kunt gaan investeren.

Je opnieuw identificeren bij Coinbase

Elke klant van Coinbase moet zich opnieuw identificeren en een aantal vragen over zijn/haar??wallet beantwoorden. Dit is verplicht. Gelukkig gaat het eenvoudig, veilig en snel via onze veiligheidsprocedure. We verwachten van onze klanten hun meest recente (contact-)gegevens bij te werken in ons systeem.

Verifieer uw identiteit

Neem voor ondersteuning contact op met ons Supportcentrum als dit probleem vaker optreedt.

Servicevoorwaarden

?? Coinbase 2021
Ditto.
Subject: Identificatie vereist bij Coinbase

Je opnieuw identificeren bij Coinbase

Elke klant van Coinbase moet zich opnieuw identificeren en een aantal vragen over zijn/haar wallet beantwoorden. Dit is verplicht. Gelukkig gaat het eenvoudig, veilig en snel via onze veiligheidsprocedure. We verwachten van onze klanten hun meest recente (contact-)gegevens bij te werken in ons systeem.
En de grote blauwe “Verifieer uw identiteit”-knop onderaan linkt naar een t.co URL. Dan weet je het wel.

Net iets anders als de bovenstaande mail, bij mij ontbreekt de eerste “Hier leest u…” regel, dus er word flink gecopy/paste tussen de phishers onderling zo te zien.

[Reactie gewijzigd door Grauw op 30 juli 2024 21:20]

Idd. Bij ons bedrijf ook meerdere meldingen gehad van coinbase spam. Wat toevallig :P
Taro Moderator General Chat / Wonen & Mobiliteit 31 augustus 2021 12:52
Dat verklaart een en ander. Toevallig vrijdagavond ingelogd op Coinbase en kreeg om 23:33 deze melding:
Uw instellingen voor tweefactorauthenticatie zijn gewijzigd
Beste X,
Uw instellingen voor tweestapsverificatie zijn gewijzigd.

Als u vragen heeft over tweestapsverificatie, raden we u aan om dit Help-artikel te bekijken voor nuttige informatie.

Belangrijk: Als u denkt dat er sprake is van ongeautoriseerde accountactiviteit, kunt u aanmelden bij uw account uitschakelen.
Ik vond het al vreemd, want ik heb alleen maar ingelogd en verder niets gewijzigd. De mail was wel gepersonaliseerd, mijn eigen naam stond erin en was ook alleen aan mij gericht. Dit in tegenstelling tot een mail van BitMEX van enige tijd geleden, waar iedereen in de To: stond en waardoor "minder leuke situaties" zijn ontstaan.

Natuurlijk niet goed dat men een dergelijke fout maakt, maar uiteindelijk is niemand perfect, gelukkig lijkt het verder onschuldig te zijn geweest.

[Reactie gewijzigd door Taro op 30 juli 2024 21:20]

Ik kreeg de 2FA e-mail ook precies op het moment dat ik wat tegoeden aan het verplaatsen was. Gisteren heeft Coinbase een compensatie gestuurd;
Hello Albert,

We’re contacting you to follow up on a recent issue Coinbase experienced that resulted in an erroneous 2-step verification notification sent to you on August 27, 2021. We want to assure you that at no point was the security of your account compromised.

Based on your trade activity after receiving that notification, it looks like you sold or withdrew some or all of your crypto. We recognize that this issue may have resulted in a poor experience for you.

We want to make this right by issuing a one-time credit to your account $<knip> USD worth of BTC. This credit will be issued to your Coinbase.com account within the next 24 hours. There is no action you need to take in order to receive this credit.

Our goal is to be the most trusted crypto platform, and our work is never done when it comes to the security and support of our customers.

If you need any additional assistance, please don’t hesitate to contact us!

Kind Regards,
The Coinbase Team

Op dit item kan niet meer gereageerd worden.