Coinbase намагається заспокоїти проблеми безпеки на тлі повідомлень про крадіжки

Провайдер Bitcoin -гаманців Coinbase, який підтримується Andreessen Horowitz, підтвердив у блозі компанії 7 лютого, що «невелика жменька» його клієнтів стали жертвами фішингових атак.

Повідомлення про вразливості безпеки Bitcoin гаманця, якими б незначними вони не були, тим не менш, отримали широкий резонанс у галузі, яку масові ЗМІ все більше окутують пеленою невизначеності.

Окрема розповідь про інциденти в інтернет-джерелі новин The Verge малює зовсім іншу картину ситуації, припускаючи, що крадіжки, хоча в деяких випадках винні користувачі Coinbase, були значними і, можливо, більш частими, ніж повідомлялося.

The Verge підтвердив те, що він назвав «ланцюгом крадіжок Bitcoin , які вразили сервіс за останні тижні».

У своєму матеріалі він описав історію користувача Coinbase на ім’я Джефф, який втратив 10,6 BTC у біткойнах через крадіжку цього грудня. Однак найбільш унікальним в історії Джеффа є те, що ONE місяць повернуті йому гроші знову вкрали зі служби.

Засоби масової інформації показали, що підтвердили дві окремі крадіжки користувачів сервісу на додаток до кількох крадіжок Джеффа на суму 16 000 і 5 000 доларів відповідно.

Загальна сума крадіжок, як зазначається у матеріалі, становить приблизно 40 тисяч доларів.

Ступінь атак

Охоронна фірма FireEye повідомила Verge , що на її думку малоймовірно, що Coinbase зазнала вразливості всієї системи, а натомість кожна окрема жертва була скомпрометована окремо.

Тим не менш, він припустив, що «надзвичайно потужний» API Coinbase міг бути фактором:

«Правильний ключ API дозволить будь-якій програмі переміщувати біткойни в певні облікові записи та з них. Після того, як ключ буде зламано, зловмисники зможуть навіть отримати доступ до пов’язаних банківських рахунків, щоб придбати більше біткойнів. Користувачам рекомендується не авторизувати ключ API, якщо він їм T потрібен, але якщо обліковий запис зламано, хакери можуть вирішити авторизувати його самостійно».

FireEye припустив, що сама компанія, здається, не несе відповідальності за атаки, які не були спрямовані на її інфраструктуру. Крім того, було припущено, що в угоді користувача Coinbase чітко зазначено, що особи несуть відповідальність за безпеку своїх особистих ключів.

Використовуючи двофакторну автентифікацію постачальника гаманця, згідно зі звітом, Джефф міг запобігти втраті свого ключа API, який після зламу його облікового запису міг бути повторно активований хакерами.

Coinbase реагує

Компанія з Сан-Франциско применшив крадіжки, зазначивши, що «фішинг, на жаль, поширений в Інтернеті», і зазначивши, що він також впливає на банківські установи, платіжні процесори та роздрібних продавців у традиційній фінансовій системі.

Крім того, компанія зазначила, що через занепокоєння щодо фішингових атак вона запровадила розширені заходи безпеки, які, якщо використовувати з найкращими методами веб-серфінгу, можуть допомогти обмежити такі випадки:

«Ми запровадили низку посилених заходів безпеки, включаючи розширені заходи двофакторної автентифікації, розроблені для того, щоб зменшити ймовірність успішних інцидентів фішингу в майбутньому. Ми також додали етап перевірки електронної пошти для ключових дій, наприклад, коли ввімкнено ключ API».

Представники Coinbase відхилили подальші запити про коментарі, заявивши, що публікація в блозі представляє їхню офіційну позицію щодо атак.

Кредит зображення: Цифровий ключ через Shutterstock