A Coinbase, maior corretora de criptomoedas dos EUA, revelou por meio de carta aos clientes que entre março e maio deste ano milhares de contas foram comprometidas provavelmente através de ataque de phishing. Segundo a empresa, uma falha no processo de recuperação da conta através de SMS permitiu que hackers obtivessem o código de dois fatores (2FA), invadissem as contas e roubassem fundos.
“Pelo menos 6.000 clientes tiveram fundos removidos de suas contas, incluindo você”, escreveu a empresa, retratando os incidentes.
O caso só veio a público agora com a circulação do documento protocolado na divisão do Departamento de Justiça dos EUA na Califórnia, no dia 17 de março deste ano. Por ora, a carta não especifica a data de envio aos clientes. Em nenhum momento, também, cita os valores perdidos.
Tudo indica que os hackers obtiveram os dados através de phishing, que é uma prática comum para roubo de dados, principalmente através de email. A Coinbase, contudo, afirma não ter encontrado nenhuma evidência de que esses invasores tenham obtido essas informações da própria plataforma.
Segundo a corretora, para clientes que usam textos SMS para autenticação em dois fatores, um terceiro tirou vantagem de uma falha no processo de recuperação por SMS para receber o token e então obter acesso às contas. Com a investida, os invasores também podem ter tido acesso a dados pessoais e histórico de transações.
A carta diz ainda que as transferências de criptomoedas foram enviadas para carteiras “não associadas à Coinbase”.
Por fim, a empresa reafirmou que encoraja fortemente seus clientes a trocarem a autenticação de dois fatores baseada em SMS para uma baseada em tempo (TOTP), como o Google Autenticador ou Authy.
Leia Também
Coinbase vai cobrir o prejuízo
A carta diz que assim que a Coinbase soube do problema, sua equipe de segurança atualizou os protocolos de recuperação de conta de SMS para evitar qualquer outro incidente. Disse também que irá cobrir os prejuízos dos clientes.
“Vamos depositar fundos em sua conta igual ao valor da moeda removida indevidamente da sua conta no momento do incidente”, disse a empresa, acrescentando que “alguns clientes já foram reembolsados”.
Sobre outras ações tomadas diante dos fatos, a Coinbase diz que abriu um processo de investigação interna e avisou a Procuradoria Geral do Estado da Califórnia. Para dar suporte a oscilantes afetas, criou também uma linha direta, pelo telefone 1 (844) 613-1499.
Por que só agora
Ao comentar o assunto, o Decrypt questiona o porquê da Coinbase demorou meses para reconhecer os incidentes, embora tenha falado sobre uma campanha sofisticada de phishing.
O site então apurou junto ao porta-voz da empresa que a Coinbase não queria interferir nas investigações em andamento que estão sendo realizadas por autoridades de aplicação da lei.
“Devido ao tamanho, escopo e sofisticação da campanha, temos trabalhado com uma variedade de parceiros, agências de aplicação da lei e outras partes interessadas para entender o ataque e desenvolver técnicas de mitigação”, disse o porta-voz.
