Criminele hackers beroofden 6000 users Coinbase via kwetsbaarheid in 2fa via sms

Minstens 6000 gebruikers van cryptobeurs Coinbase zijn bestolen door criminele hackers. Die buitten een kwetsbaarheid uit in het sms-2fa-systeem. Wel hadden de hackers nog meer gegevens van hun doelwitten nodig.

Volgens een rapport op Bleeping Computer moesten de aanvallers ook het e-mailadres, wachtwoord en telefoonnummer weten en daadwerkelijk toegang hebben tot de e-mailadressen van hun doelwitten. Al die informatie zouden ze volgens Coinbase vermoedelijk via phishingcampagnes bemachtigd hebben. Nadat ze al die gegevens hadden, konden ze een kwetsbaarheid in de multi-factor authentication via sms van Coinbase uitbuiten. Dat gebeurde tussen maart en 20 mei van dit jaar.

Wat die kwetsbaarheid precies was, wordt niet verteld, maar het gaat vermoedelijk niet om sim-swapping. "De derde partij gebruikte een fout in het sms-accountherstelproces van Coinbase om een sms-token voor twee-factor-authenticatie te ontvangen en toegang te krijgen tot de accounts", stelt het in een bericht aan getroffen gebruikers, dat Bleeping Computer online heeft gezet. De kwetsbaarheid is vermoedelijk op 20 mei verholpen.

Eenmaal binnengedrongen konden de criminelen uiteraard bij de cryptovaluta die ze bij de beurs hebben staan, maar ook bij de gegevens in de accounts. Daar gaat het om volledige namen, adressen, geboortedata, ip-adressen, transactiegeschiedenis en saldo's.

Coinbase heeft de kwetsbaarheid in mfa via sms verholpen en stelt de getroffen gebruikers schadeloos; als ze crypto kwijt zijn, krijgen ze dat van de beurs terug. Coinbase raadt het gebruik van mfa aan, maar geeft daarbij de voorkeur aan een totp of een fysieke beveiligingssleutel.

Door Mark Hendrikman

Redacteur

03-10-2021 • 12:27

36

Submitter: TweakMij

Reacties (36)

36
36
31
3
0
2
Wijzig sortering
Ik denk niet dat het verhaal van Coimbase helemaal klopt. Ik heb recent mijn account moeten herstellen omdat mijn tel nr nog gekoppeld was aan een oud nummer. Diezelfde dag krijg ik een phishing bericht van iemand vanuit een Gmail account:

"Hey,

Hoe graag wil jij je coinbase account terug? Krijg namelijk jou twee-factor binnen.."

Dit verbaasde mij omdat mijn emailadres niet voorkomt in de SMS die gestuurd wordt. Dus ergens moet er nog een lek zitten.
En kan die oplichter niet gewoon gegoogled hebben op dat nummer en jouw mailadres daarmee gevonden hebben?
Zou kunnen dat er misschien gebruik wordt gemaakt van een gelekte database waar mijn nr en emailadres aan elkaar gekoppeld is maar dat betwijfel ik. Immers, dat beantwoord niet de vraag hoe de oplichter weet dat ik mijn account heb laten herstellen.
die weet dat niet, die gokt.
Doe je dat bij xxx aantal mensen , zitten er altijd wel paar tussen (cold reading )
Ja zo zijn er wel meer van dit soort dingetjes. Ik was een maand laat met mijn belastingaangifte dit jaar, toch kreeg ik 2 dagen nadat ik het verstuurd had een scam SMS'je van zogenaamd de belastingdienst over mijn aangifte. Heel bizar, want het was dus ruim buiten het aangifte seizoen en letterlijk een dag of twee nadat ik het verstuurd had.
"Hey, Hoe graag wil jij je coinbase account terug?"
Dit is overigens al genoeg om aangifte van chantage/afdreiging te doen.
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door [...], hetzij tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
Artikel 318 Wetboek van Strafrecht
Tja, aangifte is zinloos als het toch op een berg stapel aangiftes terecht komt waar ze uiteindelijk niets mee doen. Ik heb liever dat Coinbase het lek achterhaald en het oplossen om slachtoffers in de toekomst te voorkomen.
Aangifte is nooit zinloos, ten eerste is er kans dat bij genoeg 'kleine' zaken gemeld worden er uiteindelijk toch een zaak geopend word. Ten tweede telt het mee met de statistieken waar deels de budgettering op gebaseerd is. Als er geen inbraken worden gemeld zal er ook geen geld naar opsporing en preventie gaan. Voor jou als individu kan het dus zinloos voelen maar als maatschappij hebben we er zeker wel wat aan.
Ik snap je punt maar ik vind niet dat je dit soort zaken moet vergelijken met aangiftes over inbraken bijv. Dit gaat over cybercriminaliteit en de politie schiet op dit gebied al heel lang te kort. Zij hebben amper tijd voor grote cybercriminaliteit zaken omdat ze het geld, expertise en mensen niet hebben. Ons overheid ziet ook de noodzaak er niet van in. We lopen in NL op dit gebied al jaren achter de feiten aan. Dus ja, je betoog is leuk en aardig maar in de realiteit zijn dit soort statistieken niet relevant als je bovenstaande issues hebt.
En toch geldt nog steeds hetgeen @jdh009 schreef. Aangifte doen is maatschappelijk gezien niet zinloos; telt mee voor de statistiek, het budget, enz. De maatschappij maken we samen. Zonder aangifte weet de politie niet wat er speelt in de samenleving.
CBS doet om de zoveel tijd een veiligheidsmonitor en publiceert die, daar kan de politie natuurlijk ook veel uit halen.
Blijft onverlet dat aangifte wel degelijk zin heeft.
CBS publiceert statistieken uit die aangiften. Altijd doen dus.
Nee, CBS houdt een enquête onder de bevolking en vraagt in weze bent u de afgelopen tijd slachtoffer geweest.
Dus ook als je geen aangifte hebt gedaan tel je dan mee.
Daarna maken ze van die steekproef een (wetenschappelijk onderbouwde) schatting van de totale criminaliteit.
CBS regelt ook 65.000 Enquetes per jaar voor de veiligheidsmonitor, daarom hebben we ook een beeld omtrent aangiftebereidheid.
Hoe kan een politie überhaupt weten dat er kans is op grootschalige fraude? Juist ja, door aangiften te doen. Je doet het dan ook niet alleen voor jezelf. Jouw gedachtengoed is de reden waarom kleine internetcriminaliteit lucratief is. Niemand doet aangifte voor 20 euro. Iets verder nadenken dan je neus lang is en niet alleen denken, wat levert het voor mij op.
Dat jij een mening hebt wil nog niet zeggen dat je aangifte dus zinloos is. En juist door geen aangifte te doen hou je dat in stand. Dus eigenlijk klaag je ook over je eigen gedrag als je klaagt dat de politie te kort schiet terwijl die op basis van aangiftes en je bewijs actie kunnen ondernemen.
Dat jij een mening hebt wil nog niet zeggen dat je aangifte dus zinloos is. En juist door geen aangifte te doen hou je dat in stand. Dus eigenlijk klaag je ook over je eigen gedrag als je klaagt dat de politie te kort schiet terwijl die op basis van aangiftes en je bewijs actie kunnen ondernemen.
Ik ben het eens dat het zin heeft aangifte te doen, al was het alleen vanwege budgetbepaling. Juist omdat het praktijk is dat de politie onder de €25.000 ofzo niet in actie komt. Ik denk dat het een goed idee is 90% van de gelden die gestoken worden in het betrappen van mensen die de snel rijden, beter gestoken kunnen worden in bestrijding van criminaliteit.
Wat is de kans dat jouw geval en die 6000 van het nieuwsbericht het resultaat zijn van een nog steeds lopende 'inside job' bij Coinbase?

Uit het nieuwsbericht:
Al die informatie zouden ze volgens Coinbase vermoedelijk via phishingcampagnes bemachtigd hebben.
Hmmm....
Rond de tijd dar dit gebeurde gingen ze ook publiek: nieuws: Coinbase-aandelen openden op 381 dollar bij beursgang (tussen Maart en 20 Mei 2021 vs 14 April 2021)
"Not Your Keys, Not Your Coins. It’s that simple."

https://www.ledger.com/ac...your-coins-why-it-matters
Zo simpel is 't niet. Als ik coins op Coinbase/Kraken/Bitstamp/etc. heb staan, zijn het (wettelijk gezien) wel degelijk mijn coins, ondanks dat ik niet de keys heb.

Coinbase had (in 2020) 1,249 werknemers. En ALSNOG maken ze zo'n fout met de 2fa. Het is simpelweg niet te verwachten dat particulieren meer kennis hebben van security als een miljardenbedrijf als Coinbase.

Af en toe is het slimmer om andere bedrijven te vertrouwen met je geld/coins. In dit geval heeft iedereen 't ook terug gekregen.

Zelfde kan gezegd worden over banken. Je kan zeggen "geen cash in de hand, betekent 'niet jouw cash'". Maar in de praktijk staat m'n geld veiliger bij een bank dan in m'n broekzak/matras.

Banken hebben natuurlijk meer garanties/verantwoordelijkheden, maar dat kan ook voor bitcoin zo geregeld worden. Voor de gemiddelde particulier denk ik dan ook dat de toekomst ligt in coin-banken/beurzen die je helpen met de security, en eventuele schade/verliezen dekken.

Eigen keys zijn op dit moment toch echt wel voor mensen die er genoeg vanaf weten, en hier 0 fouten in maken. (en die hun coins niet snel willen verhandelen)

edit:
Ik raad overigens 100% een hardware wallet aan voor je eigen munten. Ik bedoel alleen te zeggen dat de wereld niet zo zwart-wit/makkelijk is, beide keuzes valt iets voor te zeggen.

[Reactie gewijzigd door svane op 23 juli 2024 07:23]

Dat wordt natuurlijk niet bedoelt met "not your keys, not your coins".

Het idee erachter is dat je niet afhankelijk bent van een andere partij over het beheer van je crypto. In het geval dat er bij de andere partij iets fout gaat, iets buiten jouw macht, heb je er niks aan dat het 'jouw coins' zijn. In het geval van Coinbase wordt het nog vergoed, maar er zijn ook gevallen geweest waarbij dat toch anders lag.
Als ik als leek op Tweakers zou lezen: "Not Your Keys, Not Your Coins. It’s that simple.", dan zou ik dat als advies/waarschuwing interpreteren. Vandaar mijn reactie dat het niet zo 'simpel' is.

Ik zou een beginner normaal gesproken aanraden bij een beurs te beginnen. Ik zie het de laatste jaren steeds minder gebeuren dat mensen bij de grote beurzen écht hun geld kwijtraken. Ik schat de kans dat iemand z'n key per ongeluk weggooit/verliest/gehacked wordt op z'n persoonlijke laptop groter in dan dat je het kwijt bent bij bijv. Coinbase

Uiteraard heeft het beheren van je eigen keys (net als het beheren van je eigen cash geld, zonder bank) z'n eigen voor- en nadelen. Onafhankelijk zijn van banken en grote bedrijven is zeker een nobel streven.

Maar de quote zoals hierboven geplaatst vind ik gewoon te kort door de bocht :) Het voelt hetzelfde als waneer iemand bij een artikel over skimming plaatst: 'Je moet je geld gewoon cash thuis bewaren'.
Zeker gezien het aantal scams wat probeert je seed phrase te achterhalen en/of op schimmige manieren probeert te verbinden met je wallet, zou ik het zeker aanraden voor beginners om je crypto lekker op een grote en bekende exchange te laten staan.
Hier dan zeker wel 2fa voor gebruiken, met het liefst iets als een authenticator app op je telefoon of een yubikey (achtig) apparaat. Als je de authenticator app op je telefoon hebt, zal ik het afraden om óók de exchange app op diezelfde telefoon te hebben staan.
Ook moet je eens kijken naar beveiligingsmaatregelen op de exchange zelf. Zo heb ik mijn kraken vergrendeld, ik kan pas geld/crypto uitboeken na een 3 daagse unlock periode.
Alles bij elkaar heb ik het idee dat sommige exchanges veiliger zijn dan wanneer je bv. metamask zou gebruiken.

Hierbij leg je natuurlijk wel het vertrouwen bij de exchange, maar als je er een met een goede reputatie gebruikt (bv. coinbase of kraken) dan heb ik er net zo veel vertrouwen in als iemand die zijn aandelen bij zijn broker laat. Hoewel daar natuurlijk meer regelgeving is, hoor je niemand zeggen 'not your certificates, not your shares'.
Toch vrij kwetsbaar in geval van een (bruuske) overval en men jouw gsm bemachtigd (onder dwang). De straffen zijn al laag. En als je cryptos weg zijn, zijn ze ook daadwerkelijk weg.

Als je geld (onder dwang) via jouw bank app wordt bemachtigd kan dat nog teruggedraaid worden. Cryptos niet.
Dan nog is sms 2fa gewoon niet aan te raden, via een authenticator wel. Bij Coinbase kun je deze aanzetten. Altijd doen dus.
Haha goed dat je erover begint. Op zich redelijk eens met de stelling. Maar vraag me in dit geval af of criminelen niet aan dit soort specifieke interessante accounts zijn gekomen door de eerdere enorme Ledger database lek. nieuws: Gegevens van 272.000 gebruikers van Ledger-hardwarewallet verschijnen...

Het is best komisch om vervolgens naar Ledger te linken, aangezien mensen die zo'n ding kochten juist van jouw zin bewust waren. :P

Toevoeging:
Niet te vergeten dat er veel scam mails en phishing SMSjes naar mensen zijn gestuurd die in de gelekte database stonden. Ook fake mails van exchanges. Via die weg lopen de mensen die dus dachten "not your keys, not your coins" op 2 fronten risico. Zowel de offline wallet (want adres bekend) als de online wallet als men even niet oplettend is bij het doorklikken op emails die ogenschijnlijk betrouwbaar lijken. Het is dan ook niet onwaarschijnlijk dat de 6000 klanten mede door dit lek zijn getarget en/of uitgebuit.

[Reactie gewijzigd door Xavorius op 23 juli 2024 07:23]

Hier zou je prima op kunnen reageren met een rant over open hardware :) bijv de noodzaak van Bunnie Huang's Precursor.
Sms als 2FA is (een van) de zwakste 2e authenticatie. Met de hoeveelheid geld die sommige mensen op dit soort Exchanges laat staan is het de moeite waard voor criminelen om daar vrij eenvoudig achteraan te gaan.
Het probleem zat hier nirt in het feit dat sms werd gebruikt maar in de accountherstelprocedure. Als die niet deugt is iedere 2fa optie lek.
Vergoed Coinbase dan ook de geleden schaden bij de klanten?
uit het artikel...
"Coinbase heeft de kwetsbaarheid in mfa via sms verholpen en stelt de getroffen gebruikers schadeloos; als ze crypto kwijt zijn, krijgen ze dat van de beurs terug."
Om het aantal getroffen users een beetje in perspectief te plaatsen, Coinbase had eind 2020 68 miljoen geverifieerde users. Reguliere banken hebben ook regelmatig te maken met phishingcampagnes, dus op zich kun je ook verwachten dat crypto-beurzen aan de beurt komen. Het lijkt er zo op dat Coinbase het goed op heeft gelost en de geleden schade mee valt.
Beetje misleidende titel.

Het is niet puur via 2FA en dan specifiek sms.
Het draaide hier om toegang tot e-mail, wachtwoorden, gebruikersnamen etc.

Dat is een heel pakket aan persoonlijke data met als laatste middel sms spoofing neem ik aan of iets in die geest.

Gezien het hele idee van 2fa, via sms of Bijv een code generator, dat zowel de 2fa als wachtwoord niet voldoende is op zichzelf.
Trust wallet is wel nice, kan je als nog simpel traden met uniswap/sushiswap

Op dit item kan niet meer gereageerd worden.