Coinbaseは6,000人の顧客に手紙を送り、ハッカーが暗号通貨アカウントをワイプすることになったデータ侵害について通知しました。
この手紙は、顧客がアカウントがワイプされたと不満を述べ始めてから数か月後に、 CNBC で送信されました。 6800万人のユーザーがいる暗号通貨交換プラットフォームは、強盗に関する行動の欠如について批判されていたと報告しています。
先週の終わりに、Coinbaseは、2021年3月から5月の間に、6,000人の米国の顧客が「Coinbaseの顧客のアカウントへの不正アクセスを取得し、顧客の資金をCoinbaseプラットフォームから移動するサードパーティキャンペーン」の犠牲になったことを確認しました。
>資金はCoinbaseとは関係のない暗号通貨ウォレットに送金されたと同社は手紙に述べており、取引を撤回することは不可能でした。 CNBC によると、一部の顧客は168,000ドル(123,655ポンド)も失ったと報告しています。 。
攻撃者は何十万もの暗号通貨を盗むことができただけでなく、「氏名、メールアドレス、自宅の住所、生年月日、アカウントアクティビティのIPアドレス、取引履歴、アカウントの保有、とバランス」。
ハッカーは、「SMS 2要素(2FA)認証トークンを受信するために、CoinbaseのSMSアカウント回復プロセスの欠陥」を悪用することに成功しました。
ただし、ユーザーのアカウントにログインするには、アカウントに関連付けられているメールアドレス、パスワード、電話番号などの情報と、顧客のメールアカウントへのアクセスも必要です。
Coinbaseは被害者に、「これらの第三者がこの情報にアクセスする方法を決定的に決定することはできなかった」と語った。
しかし、同社は、「フィッシング攻撃やその他のソーシャルエンジニアリング手法を利用して、被害者をだまし、悪意のある攻撃者に無意識のうちにログイン資格情報を開示させる」可能性があると指摘しました。
「これらの第三者がCoinbase自体からこの情報を入手したという証拠は見つかりませんでした」と、違反が発生してから約6か月後に送信された手紙に記載されています。
強盗の犠牲者は払い戻されるだろう、とCoinbaseは言い、「影響を受けたすべての顧客が[彼らが]失ったものの完全な価値を受け取ることを確実にするだろう」と付け加えた。顧客は、パスワードを、別のサイトで使用されていないより強力な組み合わせに変更するように求められました。
同社はまた、法執行機関と協力して問題を調査し、調査の状況を「進行中」と説明しています。