Bảo mật

Hacker đánh cắp tiền điện tử của hàng nghìn khách hàng bằng lỗ hổng MFA

author Đặng Hoài Đức - 2021-10-04 09:27:29 (GMT+7)

Coinbase thông báo rằng từ tháng 3 đến tháng 5 năm 2021 có một hacker đã đánh cắp tiền điện tử từ hơn 6.000 khách hàng sau khi khai thác lỗ hổng bảo mật MFA để vượt qua tính năng bảo mật xác thực nhiều yếu tố qua SMS.

Coinbase là sàn giao dịch tiền điện tử lớn thứ hai thế giới, với khoảng 68 triệu người dùng từ hơn 100 quốc gia.

Để tiến hành cuộc tấn công, Coinbase cho biết các hacker cần biết địa chỉ email, mật khẩu và số điện thoại của nạn nhân liên kết với tài khoản Coinbase và có toàn quyền truy cập vào tài khoản email của nạn nhân.

Lỗ hổng MFA cho phép hacker truy cập vào tài khoản

Ngay cả khi hacker có quyền truy cập vào thông tin đăng nhập và tài khoản email của khách hàng Coinbase, chúng thường bị chặn đăng nhập vào tài khoản nếu khách hàng đã bật xác thực đa yếu tố.

Tuy nhiên, Coinbase cho biết lỗ hổng bảo mật MFA đã tồn tại trong quá trình khôi phục tài khoản thông qua tin nhắn SMS của họ, cho phép hacker lấy được mã thông báo xác thực hai yếu tố SMS cần thiết để truy cập vào tài khoản khách hàng.

Sau khi biết về cuộc tấn công, Coinbase tuyên bố rằng họ đã sửa "các giao thức khôi phục tài khoản SMS" để ngăn chặn bất kỳ việc bỏ qua xác thực đa yếu tố SMS nào nữa.

Khách hàng của Coinbase nên làm gì

Vì cuộc tấn công này yêu cầu mật khẩu của cả tài khoản Coinbase và email của khách hàng, nên khách hàng cần thay đổi mật khẩu ngay lập tức.

Coinbase cũng khuyến nghị khách hàng chuyển sang phương thức xác thực đa yếu tố an toàn hơn, chẳng hạn như khóa bảo mật phần cứng hoặc xác thực bằng ứng dụng.

Cuối cùng, khách hàng nên đề phòng các email hoặc tin nhắn SMS lừa đảo trong tương lai.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subcribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Windows 10, iOS 15, Ubuntu, Chrome thất bại tại cuộc thi hack Tianfu của Trung Quốc
author Đặng Hoài Đức 18 Tháng mười, 2021

BẢO MẬT
Tiện ích chặn quảng cáo chèn quảng cáo lừa đảo vào trình duyệt web
author Đặng Hoài Đức 18 Tháng mười, 2021

BẢO MẬT
Google đang theo dõi 270 nhóm hacker ở hơn 50 Quốc gia
author Đặng Hoài Đức 15 Tháng mười, 2021

tin.123host.vnTin công nghệ 24h

Nơi cập nhật những thông tin công nghệ mới nhất.

Xem thêm