[[428073]]

Coinbase雙因子認(rèn)證系統(tǒng)存在漏洞致超6000用戶加密貨幣被盜。

Coinbase成立于2012年，美國比特幣和其他數(shù)字貨幣交易平臺。2021年4月14日，Coinbase在納斯達(dá)克成功上市。

據(jù)美國加利福尼亞州司法部公開的一份數(shù)據(jù)泄露通知信息顯示，Coinbase向用戶發(fā)送數(shù)據(jù)泄露通知信，稱其發(fā)現(xiàn)有第三方未經(jīng)授權(quán)獲得了Coinbase客戶賬號的訪問權(quán)限，并將客戶賬戶中的資金轉(zhuǎn)出Coinbase平臺，2021年3月——5月之間，有至少6000名Coinbase客戶的資金被轉(zhuǎn)出。

要成功將資金從Coinbase 賬戶轉(zhuǎn)出，攻擊者需要知道賬戶的用戶名、密碼以及與賬戶關(guān)聯(lián)的手機(jī)號，并成功繞過基于SMS的雙因子認(rèn)證。通過利用Coinbase雙因子認(rèn)證系統(tǒng)中賬號恢復(fù)過程中的漏洞，攻擊者可以提取基于SMS的雙因子認(rèn)證token。Coinbase發(fā)現(xiàn)了攻擊活動后，馬上更新了基于SMS的賬戶恢復(fù)協(xié)議。

目前，Coinbase尚未確認(rèn)攻擊者是如何獲取以上信息的，初步懷疑是通過釣魚攻擊來獲取攻擊所需數(shù)據(jù)的，并排除了從Coinbase公司內(nèi)部竊取數(shù)據(jù)的可能，因?yàn)闆]有任何跡象表明數(shù)據(jù)來源于Coinbase內(nèi)部。

Coinbase稱會補(bǔ)償所有受影響的用戶，并已開始向他們發(fā)送補(bǔ)償款。

本文翻譯自：https://oag.ca.gov/system/files/09-24-2021%20Customer%20Notification.pdf及https://securityaffairs.co/wordpress/122846/hacking/coinbase-2fa-flaw.html如若轉(zhuǎn)載，請注明原文地址。