黑客抢劫数千 Coinbase 客户 SMS MFA 缺陷

据 Bleeping Computer 报道，总部位于美国的主要比特币和加密货币交易所 Coinbase 今天披露，一名黑客能够绕过该公司的 SMS 多因素身份验证机制并窃取 6,000 名用户的资金。

Coinbase 客户帐户的泄露发生在 2021 年 3 月至 5 月 20 日之间，这是一场结合网络钓鱼诈骗和公司安全措施漏洞利用的黑客活动。

据报道，这家总部位于美国的交易所拥有来自 100 多个国家/地区的约 6800 万用户，据报道，为了进行攻击，黑客需要知道用户的电子邮件地址、密码和电话号码，并且可以访问他们的电子邮件帐户。 目前尚不清楚黑客是如何获得这些信息的。

“在这次事件中，对于使用 SMS 文本进行双因素身份验证的客户，第三方利用 Coinbase 的 SMS 帐户恢复过程中的一个缺陷来接收 SMS 两因素身份验证令牌并访问您的帐户，” Coinbase 在电子通知中告诉客户。

报告称，除了窃取资金外，黑客还暴露了客户的个人信息，“包括他们的全名、电子邮件地址、家庭地址、出生日期、账户活动的 IP 地址、交易历史、账户持有量和余额”。

安全应该是在线服务的首要任务，但对于金融服务尤其如此。 以美元或加密货币处理客户资金的公司根本不应提供短信作为恢复选项，因为它最容易被利用。 当他们这样做时，用户应避免使用 SMS 进行帐户恢复或多重身份验证。

保护您的帐户的更好选择是身份验证应用程序和物理硬件，例如 YubiKeys。 更重要的是，您可以而且应该使用强密码和合适的密码管理器（如 Bitwarden）来保护您的帐户。

尽管如此，用户也可以通过完全退出中心化服务来收回他们的主权。 像 Coinbase 这样的比特币交易所代表了单点故障，有效地成为了数据利用的温床，无论他们声称遵守的安全标准如何。 集中的托管人和提供者经常被利用； 存在分散的替代方案，应该加以利用。 在将您的个人信息交给第三方之前，请务必仔细考虑。

—-

原文链接：https://bitcoinmagazine.com/business/hackers-rob-thousands-coinbase-customers-sms-mfa-flaw

原文作者：Namcios

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。