
Le géant de la crypto-monnaie Coinbase a révélé qu' »au moins 6 000 clients de Coinbase ont vu des fonds retirés de leurs comptes » à la suite d’une récente campagne d’hameçonnage qui a vu les pirates contourner une fonction d’authentification par SMS utilisée par la société pour sécuriser de nombreux comptes.
La campagne d’hameçonnage a été signalée pour la première fois en août, mais son ampleur n’est apparue clairement qu’après qu’une lettre envoyée par la société aux clients concernés a commencé à circuler.
Dans cette lettre, Coinbase indique que les pirates ont eu accès aux comptes de messagerie des victimes, puis ont utilisé ces comptes compromis pour vider les cryptomonnaies de ces utilisateurs. Bien que Coinbase exige une fonction de sécurité de « authentification à deux facteurs« , la version SMS de cette fonction, qui permet aux utilisateurs de recevoir un message texte pour confirmer une transaction, a échoué.
« Cependant, dans cet incident, pour les clients qui utilisent des SMS pour l’authentification à deux facteurs, le tiers a profité d’une faille dans le processus de récupération de compte par SMS de Coinbase afin de recevoir un jeton d’authentification à deux facteurs par SMS et d’accéder à votre compte« , indique la lettre.
Coinbase indique également qu’elle remboursera les personnes qui ont perdu des fonds à la suite de l’attaque par hameçonnage, et qu’elle a déjà commencé à rembourser les clients. La société n’a pas divulgué le montant total que les pirates ont volé.
L’incident ne s’est pas traduit, comme certains l’ont rapporté, par un piratage de Coinbase, puisque les pirates ne semblent pas avoir violé les systèmes internes de la société. Au lieu de cela, les vols ont eu lieu parce que les clients sont tombés dans des attaques de phishing visant leur courrier électronique personnel – un événement extrêmement courant.
On ignore toutefois pourquoi Coinbase a mis si longtemps à reconnaître ces incidents, qui se sont déroulés entre mars et mai. Alors que la société a publié un article de blog en début de semaine décrivant une campagne de phishing sophistiquée, elle n’a pas révélé que les pirates l’avaient utilisée pour voler avec succès des milliers de clients. Coinbase ne semble pas non plus avoir fait quoi que ce soit pour avertir sa clientèle au moment où les attaques étaient en cours, ni même dans les mois qui ont suivi.
Selon un porte-parole de Coinbase, l’entreprise n’a pas voulu interférer avec les forces de l’ordre qui enquêtent sur l’incident.
« En raison de la taille, de la portée et de la sophistication de la campagne, nous avons travaillé avec un éventail de partenaires, d’organismes d’application de la loi et d’autres parties prenantes pour comprendre l’attaque et développer des techniques d’atténuation. Nous ne nous sentions pas à l’aise pour divulguer l’attaque publiquement tant que les mesures correctes n’avaient pas été prises pour garantir qu’elle ne pourrait pas être répétée avec succès et qu’elle ne compromettrait pas l’intégrité des enquêtes des forces de l’ordre« , a déclaré le porte-parole.
Les attaques semblent avoir été de nature mondiale, car la lettre de Coinbase indique qu’elle fournira des services de surveillance du crédit dans « votre pays de résidence« .
Coinbase a également exhorté ses clients à passer à une forme plus sécurisée d’authentification à deux facteurs, comme un dispositif matériel externe ou une appli d’authentification.