Coinbase的簡訊雙因素認證有漏洞，遭駭客移轉6千名用戶資產

在今年4月登上那斯達克股市的美國最大加密貨幣交易平臺Coinbase在9月28日披露，有一駭客集團針對該公司的用戶展開大規模的網釣活動，並利用該平臺簡訊雙因素認證的安全漏洞，移轉了至少6,000名Coinbase用戶的資產，而Coinbase則決定彌補用戶的全部損失。

根據Coinbase的說明，駭客是在今年4月至5月初之間，鎖定該平臺的用戶展開大規模的網釣攻擊，寄出網釣郵件予採用各大電子郵件平臺的Coinbase用戶。駭客製作了許多不同版本的郵件，有些偽裝成Coinbase，聲稱用戶的Coinbase帳號被鎖住了；有些偽裝成微軟，詢問使用者是否願意讓Coinbase程式存取個人檔案；由於有些舊有的郵件服務並未更新過濾機制，而讓網釣郵件流入使用者收信匣，最終將使用者導至駭客掌控的網釣頁面。

圖片來源_Coinbase

成功的網釣攻擊取得了Coinbase用戶註冊時使用的電子郵件位址、密碼與電話號碼，還能存取使用者的收件匣，等於是獲得Coinbase用戶的登入憑證，在察覺相關攻擊之後，Coinbase聘請了外部安全專家以協助關閉網釣網站，亦通知收到影響的電子郵件服務供應商。

不過，就算駭客取得了Coinbase用戶的登入憑證，要盜轉用戶資產還必須通過Coinbase的雙因素認證機制。

Coinbase在寄給受害用戶的信件中坦承，該平臺的簡訊帳號復原程序含有一個安全漏洞，該程序主要是用來讓用戶接受簡訊雙因素認證令牌以存取帳號。因此，那些使用簡訊作為雙因素的用戶，多已遭駭客移走帳號中的資產，估計至少有6,000名客戶受害。

由於加密貨幣的轉移是不可逆的，於是Coinbase決定補償用戶的損失，匯入等值的資產至受害者帳號。不過，Coinbase並未對外透露損失規模。

Coinbase已修補了該漏洞，除了提醒用戶應該使用更強大的密碼，避免使用重複的密碼之外，也建議用戶最好改採更安全的雙因素認證形式，例如硬體金鑰或Google Authenticator程式。已取得Coinbase用戶憑證的駭客可能已經更改用戶的電子郵件或電話號碼，Coinbase亦著手回復這些變更，同時強烈呼籲受害者變更Coinbase密碼。