Coinbase informó a sus usuarios sobre una campaña de meses de duración en la que miles de personas pudieron haber perdido criptos. ¿Qué pasó?, en esta nota
Coinbase notificó a más de 6000 usuarios que podrían haber perdido fondos en una campaña de meses de duración en la que una serie de atacantes logró extraer dinero a través de un fallo en la plataforma (vía TechRadar).
La empresa declara que los atacantes se aprovecharon de una falla en el mecanismo de autenticación de dos pasos (2FA en sus siglas en inglés) de Coinbase para robar dinero entre marzo y mayo de 2021. “Tan pronto como Coinbase se enteró de este problema, actualizamos nuestros protocolos de recuperación de cuentas por SMS para evitar que se siga eludiendo ese proceso de autenticación” declaró la compañía.
¿Cómo lograron robar dinero de cuentas de Coinbase?
De todas maneras, Coinbase aclara que para que los atacantes pudieron entrar a la cuenta y robar dinero con éxito, necesitarían de información adicional de los usuarios como sus números de celular o las credenciales de acceso. El mayor inconveniente es que se trata de un problema que data de hace varios meses: en agosto aparecieron informes no confirmados de que hackers habían accedido a criptomonedas de usuarios de Coinbase, y en septiembre, la empresa misma notificó a sus usuarios que el mensaje de 2FA que les llegó a sus smartphones fue un error.
Por ahora, la plataforma de criptomonedas no puede determinar de qué manera los atacantes obtuvieron la información necesaria de los usuarios para realizar el robo. “Incluso con la información descrita anteriormente, se requiere de una autenticación adicional para acceder a su cuenta de Coinbase. Sin embargo, en este incidente, para los clientes que usan SMS para la autenticación en dos pasos, el tercero se aprovechó de una falla en el proceso de recuperación de cuentas por SMS de Coinbase para recibir un token de autenticación de dos pasos por SMS y entrar a su cuenta” explica la empresa.
La solución que brinda la plataforma a los usuarios afectados apunta a un reembolso del dinero perdido, así como un servicio gratuito de monitoreo de crédito a los clientes con un mecanismo de 2FA distinto al de SMS, y un cambio en la contraseña y correo vinculados a sus cuentas.
[embedyt] https://www.youtube.com/watch?v=wSrDns8fTIU[/embedyt]