Minstens 6000 gebruikers van cryptobeurs Coinbase zijn bestolen door criminele hackers. Die buitten een kwetsbaarheid uit in het sms-2fa-systeem. Wel hadden de hackers nog meer gegevens van hun doelwitten nodig.
Volgens een rapport op Bleeping Computer moesten de aanvallers ook het e-mailadres, wachtwoord en telefoonnummer weten en daadwerkelijk toegang hebben tot de e-mailadressen van hun doelwitten. Al die informatie zouden ze volgens Coinbase vermoedelijk via phishingcampagnes bemachtigd hebben. Nadat ze al die gegevens hadden, konden ze een kwetsbaarheid in de multi-factor authentication via sms van Coinbase uitbuiten. Dat gebeurde tussen maart en 20 mei van dit jaar.
Wat die kwetsbaarheid precies was, wordt niet verteld, maar het gaat vermoedelijk niet om sim-swapping. "De derde partij gebruikte een fout in het sms-accountherstelproces van Coinbase om een sms-token voor twee-factor-authenticatie te ontvangen en toegang te krijgen tot de accounts", stelt het in een bericht aan getroffen gebruikers, dat Bleeping Computer online heeft gezet. De kwetsbaarheid is vermoedelijk op 20 mei verholpen.
Eenmaal binnengedrongen konden de criminelen uiteraard bij de cryptovaluta die ze bij de beurs hebben staan, maar ook bij de gegevens in de accounts. Daar gaat het om volledige namen, adressen, geboortedata, ip-adressen, transactiegeschiedenis en saldo's.
Coinbase heeft de kwetsbaarheid in mfa via sms verholpen en stelt de getroffen gebruikers schadeloos; als ze crypto kwijt zijn, krijgen ze dat van de beurs terug. Coinbase raadt het gebruik van mfa aan, maar geeft daarbij de voorkeur aan een totp of een fysieke beveiligingssleutel.