Coinbase的简讯双因素认证有漏洞，遭骇客移转6千名用户资产

在今年4月登上那斯达克股市的美国最大加密货币交易平台Coinbase在9月28日披露，有一骇客集团针对该公司的用户展开大规模的网钓活动，并利用该平台简讯双因素认证的安全漏洞，移转了至少6,000名Coinbase用户的资产，而Coinbase则决定弥补用户的全部损失。

根据Coinbase的说明，骇客是在今年4月至5月初之间，锁定该平台的用户展开大规模的网钓攻击，寄出网钓邮件予采用各大电子邮件平台的Coinbase用户。骇客制作了许多不同版本的邮件，有些伪装成Coinbase，声称用户的Coinbase账号被锁住了；有些伪装成微软，询问使用者是否愿意让Coinbase程式存取个人档案；由于有些旧有的邮件服务并未更新过滤机制，而让网钓邮件流入使用者收信匣，最终将使用者导至骇客掌控的网钓页面。

图片来源_Coinbase

成功的网钓攻击取得了Coinbase用户注册时使用的电子邮件位址、密码与电话号码，还能存取使用者的收件匣，等于是获得Coinbase用户的登入凭证，在察觉相关攻击之后，Coinbase聘请了外部安全专家以协助关闭网钓网站，亦通知收到影响的电子邮件服务供应商。

不过，就算骇客取得了Coinbase用户的登入凭证，要盗转用户资产还必须通过Coinbase的双因素认证机制。

Coinbase在寄给受害用户的信件中坦承，该平台的简讯账号复原程序含有一个安全漏洞，该程序主要是用来让用户接受简讯双因素认证令牌以存取账号。因此，那些使用简讯作为双因素的用户，多已遭骇客移走账号中的资产，估计至少有6,000名客户受害。

由于加密货币的转移是不可逆的，于是Coinbase决定补偿用户的损失，汇入等值的资产至受害者账号。不过，Coinbase并未对外透露损失规模。

Coinbase已修补了该漏洞，除了提醒用户应该使用更强大的密码，避免使用重复的密码之外，也建议用户最好改采更安全的双因素认证形式，例如硬件金钥或Google Authenticator程式。已取得Coinbase用户凭证的骇客可能已经更改用户的电子邮件或电话号码，Coinbase亦着手回复这些变更，同时强烈呼吁受害者变更Coinbase密码。