El intercambio de criptomonedas Coinbase ha confirmado que fue comprometido brevemente por los mismos atacantes que atacaron a Twilio, Cloudflare, DoorDash y más de cien organizaciones más el año pasado.
en un Post mortem Del incidente publicado durante el fin de semana, Coinbase dijo que los llamados piratas informáticos “0ktapus” robaron las credenciales de inicio de sesión de uno de sus empleados en un intento de obtener acceso remoto a los sistemas de la empresa.
0ktapus es un grupo de piratería que atacó a más de 130 organizaciones en 2022 como parte de un esfuerzo continuo para robar las credenciales de miles de empleados, a menudo haciéndose pasar por páginas de inicio de sesión de Okta. Es probable que esa cifra de 130 organizaciones ahora sea mucho más alta, ya que un informe de CrowdStrike filtrado visto por TechCrunch afirma que la pandilla ahora está apuntando a varias compañías de tecnología y videojuegos.
En el caso de Coinbase, los piratas informáticos de 0ktapus primero enviaron mensajes de texto SMS falsificados a varios empleados el 5 de febrero, advirtiéndoles que debían iniciar sesión con urgencia utilizando el enlace provisto para recibir un mensaje importante. Un empleado siguió el enlace de phishing e ingresó sus credenciales. En la siguiente fase, el atacante intentó iniciar sesión en los sistemas internos de Coinbase utilizando las credenciales robadas, pero falló porque el acceso estaba protegido con autenticación multifactor.
Unos 20 minutos después, el atacante usó phishing de voz, o “vishing”, para llamar al empleado que decía ser del equipo de TI de Coinbase y le indicó a la víctima que iniciara sesión en su estación de trabajo. Esto permitió al atacante ver la información de los empleados, incluidos los nombres, las direcciones de correo electrónico y los números de teléfono.
“Un actor de amenazas pudo ver el panel de control de una pequeña cantidad de herramientas de comunicación internas de Coinbase y acceder a información de contacto limitada de los empleados”, dijo a TechCrunch la portavoz de Coinbase, Jaclyn Sales. “El actor de amenazas pudo ver, a través de una pantalla compartida, ciertas vistas de paneles internos y accedió a información de contacto limitada de los empleados”.
Sin embargo, Coinbase dice que su equipo de seguridad respondió rápidamente, evitando que el acceso a la amenaza acceda a los datos o fondos del cliente. “Nuestro equipo de seguridad pudo detectar rápidamente actividades inusuales y evitar cualquier otro acceso a sistemas o datos internos”, agregó Sales.
Coinbase dijo que no se accedió a los datos de los clientes, pero el director de seguridad de la información de la compañía, Jeff Lunglhofer, dijo que recomienda que los usuarios consideren cambiar a claves de seguridad de hardware para un acceso más fuerte a la cuenta, pero no dijo si usa claves de hardware internas, que no pueden ser suplantadas de identidad. .
Source link