Coinbase Hack attribué à une faille d’authentification multifacteur qui a permis aux escrocs de voler la crypto-monnaie de 6 000 comptes
Des pirates ont volé la crypto-monnaie d’environ 6 000 comptes Coinbase après avoir contourné l’authentification multifacteur dans une campagne de phishing présumée, a révélé un dossier auprès du bureau du procureur général de l’État de Californie.
Selon la notification de violation de données, les pirates ont exploité une faille dans le processus de récupération de compte de la plate-forme pour détourner les SMS d’authentification à deux facteurs.
Le piratage Coinbase, signalé pour la première fois par Bleeping Computer, s’est produit entre mars et mai 2021.
La plate-forme d’échange de crypto-monnaie compte environ 68 millions d’utilisateurs dans plus de 100 pays.
Le piratage de Coinbase provient d’une violation par un tiers
Coinbase dit que les pirates avaient besoin d’informations personnelles telles que l’adresse e-mail, le mot de passe et le numéro de téléphone pour terminer le piratage de Coinbase. Cependant, la plate-forme d’échange de crypto-monnaie a déclaré que les pirates avaient obtenu des informations d’une source tierce.
La notification de violation de Coinbase indiquait que la plate-forme n’avait aucune « preuve que ces tiers ont obtenu ces informations de Coinbase elle-même ». De plus, la plate-forme d’échange de crypto-monnaie a suggéré que les informations provenaient de campagnes de phishing et d’ingénierie sociale.
Le 27 septembre, CoinBase a déclaré avoir observé une campagne de « messages de phishing de marque Coinbase » ciblant les « fournisseurs de services de messagerie couramment utilisés ». Coinbase a décrit la campagne comme très réussie et capable de contourner les filtres anti-spam de certains services de messagerie plus anciens.
Selon le billet de blog, des pirates présumés ont envoyé des messages avec des lignes d’objet, des contenus et des expéditeurs différents ou des versions différentes des mêmes messages de phishing avec différentes techniques de vol de données.
« Malheureusement, nous pensons, bien que nous ne puissions pas déterminer de manière concluante, que certains clients de Coinbase ont peut-être été victimes de la campagne de phishing et ont remis leurs informations d’identification Coinbase et les numéros de téléphone vérifiés dans leurs comptes à des attaquants », a déclaré la société dans une déclaration par courrier électronique.
Coinbase a reconnu une faille d’authentification multifacteur, rembourse la crypto volée
Coinbase a reconnu une faille d’authentification à plusieurs facteurs qui permettait aux pirates de recevoir un jeton d’authentification à deux facteurs par SMS requis pour récupérer les comptes d’utilisateurs.
« Dans cet incident, pour les clients qui utilisent des SMS pour l’authentification à deux facteurs, le tiers a profité d’une faille dans le processus de récupération de compte SMS de Coinbase afin de recevoir un jeton d’authentification à deux facteurs SMS et d’accéder à votre compte. Coinbase admis.
La société a assuré aux utilisateurs qu’elle avait depuis corrigé les « protocoles de récupération de compte SMS pour empêcher tout autre contournement de ce processus d’authentification ».
De plus, Coinbase a promis de rembourser la « valeur totale » de la crypto-monnaie volée lors du piratage de Coinbase. Certains des clients concernés auraient récupéré leur crypto-monnaie.
La plate-forme d’échange crypto a également conseillé à ses utilisateurs d’activer l’authentification multifacteur basée sur une clé de sécurité ou un mot de passe à usage unique basé sur le temps (TOTP) avec une application d’authentification. La plate-forme décrit l’authentification SMS comme le dernier recours en raison de la possibilité d’échanges de sim tiers.
La plateforme a également promis de travailler avec des tiers pour supprimer les sites de phishing potentiellement utilisés dans le piratage Coinbase.
Coinbase a subi plusieurs violations, y compris l’exposition de données d’août 2019 qui stockait 3 500 mots de passe utilisateur en texte clair dans un journal de serveur. La plate-forme a également repoussé une attaque présumée parrainée par l’État au cours du même mois. Cependant, aucune donnée utilisateur n’a été exposée à des tiers dans les deux attaques.
« Cela fait encore une fois ressortir le fait que l’authentification à deux facteurs basée sur SMS est fondamentalement non sécurisée et ne doit pas être considérée comme une bonne pratique », déclare Chris Clements, vice-président de l’architecture des solutions, Cerberus Sentinel.
« Dans ce cas, cela semble être un bogue dans la mise en œuvre de Coinbase, mais l’échange de SIM et d’autres attaques sont endémiques avec le 2FA basé sur SMS », a poursuivi Clements. « Je sais que le 2FA basé sur SMS peut être pratique et facile à utiliser, mais de la même manière que votre banque ne vous laissera pas choisir le mot de passe « mot de passe », les organisations devraient interdire l’utilisation de la vérification par SMS. »
Le piratage de Coinbase a divulgué des informations personnellement identifiables
Outre le transfert de fonds, le piratage Coinbase a également exfiltré les informations personnellement identifiables (PII) des utilisateurs, notamment les noms complets, les dates de naissance, les adresses IP, les e-mails, les adresses personnelles, les avoirs de compte, les soldes, l’activité du compte et l’historique des transactions.
Les utilisateurs concernés seront probablement victimes d’autres attaques de phishing exploitant leurs informations personnellement identifiables divulguées dans le piratage CoinBase.
De plus, certains propriétaires de compte peuvent ne pas être immédiatement conscients que leurs comptes ont été piratés. Ces comptes pourraient être mis aux enchères sur les marchés du Web sombre à des prix décents. Selon le rapport sur l’indice des prix du Dark Web de Privacy Affairs 2021, un compte cryptographique compromis rapporte environ 610 $ sur des forums clandestins. Il reste difficile de savoir si les acteurs de la menace qui ont piraté ces comptes ont compromis les comptes eux-mêmes ou les ont vendus à d’autres acteurs de la menace.
Roger Grimes, un évangéliste de la défense basée sur les données chez KnowBe4 et l’auteur de Hacking Multi-factor Authentication (Wiley), affirme que le piratage CoinBase n’est pas nouveau. « Ce n’est pas la première fois que les clients Coinbase utilisant MFA sont compromis. C’est au moins la deuxième ou la troisième fois. Donc, ce n’est pas nouveau. »
Il a ajouté que les méthodes d’authentification multifacteur basées sur les SMS pouvaient être piratées de plusieurs manières et « figuraient parmi les solutions de sécurité les plus piratables ».
Il a également noté qu’en 2017, les directives SP800-63 du National Institute of Standards and Technology (NIST) des États-Unis sur l’identité numérique ont découragé l’utilisation de l’authentification multifacteur basée sur SMS pour protéger les données précieuses. « Ils se sont même réservé le droit futur de le supprimer complètement en tant que solution MFA autorisée », a poursuivi Grimes. « Et pourtant, le MFA par SMS est probablement la solution MFA la plus utilisée sur Internet aujourd’hui.
Grimes a noté que la plupart des clients utilisent l’authentification multifacteur basée sur SMS sans connaître sa vulnérabilité la plupart du temps, car les fournisseurs les y obligent.