कॉइनबेस ने खुलासा किया कि इस वसंत में 6,000 ग्राहक खाते हैक हो गए थे

हमलावरों ने संभवतः पीड़ितों के ईमेल इनबॉक्स तक पहुंच प्राप्त करने के लिए फ़िशिंग ईमेल का उपयोग किया, और फिर कॉइनबेस उपयोगकर्ता खातों में सेंध लगाने के लिए कॉइनबेस के दो-कारक एसएमएस सिस्टम में एक दोष का फायदा उठाया।

कॉइनबेस ने खुलासा किया कि इस वसंत में 6,000 ग्राहक खाते हैक हो गए थे

कॉइनबेस ने खुलासा किया है कि हैकर्स ने इस वसंत में कम से कम 6,000 ग्राहकों से क्रिप्टोक्यूरेंसी को सफलतापूर्वक चुरा लिया, आंशिक रूप से क्रिप्टोक्यूरेंसी एक्सचेंज के दो-कारक प्रमाणीकरण प्रणाली में एक दोष का फायदा उठाकर।

कॉइनबेस ने इस सप्ताह प्रभावित ग्राहकों को भेजे गए डेटा उल्लंघन नोटिस में हैकिंग की होड़ का खुलासा किया। नोटिस में कहा गया है, "आपके सहित कम से कम 6,000 कॉइनबेस ग्राहकों के खातों से धनराशि निकाल दी गई है।" ब्लीपिंग कंप्यूटर ने सबसे पहले इस खबर को रिपोर्ट किया था।

मार्च 2021 और 20 मई, 2021 के बीच खाता उल्लंघन हुआ। कॉइनबेस को संदेह है कि हैकर्स ने कई ग्राहकों को अपने खातों से जुड़े ईमेल पते, पासवर्ड और फोन नंबर देने के लिए धोखा देने के लिए बड़े पैमाने पर ईमेल फ़िशिंग अभियान का इस्तेमाल किया। इसके अलावा, यदि उपयोगकर्ता अनुमति देता है तो अज्ञात अपराधियों ने इनबॉक्स में पढ़ने और लिखने में सक्षम दुर्भावनापूर्ण ऐप का उपयोग करके पीड़ितों के ईमेल इनबॉक्स तक पहुंच प्राप्त की।

फिर भी, एक कॉइनबेस खाते में सेंध लगाने के लिए एक पासवर्ड पर्याप्त नहीं है। डिफ़ॉल्ट रूप से, कंपनी दो-कारक प्रमाणीकरण के साथ एक खाते को सुरक्षित करती है, जिसका अर्थ है कि खाते तक पहुंचने के लिए आपको अपने फोन पर एक पासवर्ड और एक बार का पासकोड दोनों की आवश्यकता होती है।

हालांकि, कुछ मामलों में हैकर्स वन टाइम पासकोड को चुराने में सफल रहे। यह उन उपयोगकर्ताओं के लिए हुआ जिन्होंने अपने खाते को दो-कारक प्रमाणीकरण प्रणाली के साथ सुरक्षित किया जो एसएमएस संदेशों के माध्यम से कोड भेजने पर निर्भर करता है।

"एक बार जब हमलावरों ने उपयोगकर्ता के ईमेल इनबॉक्स और उनके कॉइनबेस क्रेडेंशियल्स से समझौता कर लिया, तो कुछ मामलों में वे उस जानकारी का उपयोग उपयोगकर्ता को प्रतिरूपित करने, एक एसएमएस टू-फैक्टर ऑथेंटिकेशन कोड प्राप्त करने और कॉइनबेस ग्राहक खाते तक पहुंच प्राप्त करने में सक्षम थे। क्रिप्टोक्यूरेंसी एक्सचेंज के एक प्रवक्ता ने एक बयान में कहा। इसके बाद हैकर्स ने क्रिप्टोकुरेंसी फंड लूट लिया।

कॉइनबेस ने यह नहीं बताया कि प्रतिरूपण कैसे हुआ। लेकिन बयान से पता चलता है कि हमलावरों ने पीड़ित के मोबाइल फोन नंबर को स्थानांतरित करने के लिए सेल फोन वाहक को धोखा देने के लिए सिम-स्वैपिंग हमले का इस्तेमाल किया।

जवाब में, कॉइनबेस का कहना है कि यह चोरी की गई क्रिप्टोकरेंसी के पीड़ितों को मुआवजा दे रहा है, रिपोर्ट के बाद कंपनी ने उपभोक्ताओं को हैक करने में मदद करने के लिए बहुत कम किया। कंपनी के प्रवक्ता ने कहा, "हमने तुरंत दोष को ठीक किया और इन ग्राहकों के साथ उनके खातों पर नियंत्रण हासिल करने और उनके द्वारा खोए गए धन की प्रतिपूर्ति करने के लिए काम किया है।"

दोष कैसे ठीक किया गया यह भी स्पष्ट नहीं है। हालांकि, कॉइनबेस ग्राहकों को मजबूत तरीकों के लिए एसएमएस-आधारित दो-कारक प्रमाणीकरण प्रणाली को छोड़ने के लिए प्रोत्साहित कर रहा है। इसमें मोबाइल ऐप पर वन-टाइम पासकोड जनरेट करना या हार्डवेयर-आधारित सुरक्षा कुंजी का उपयोग करना शामिल है।

इस सप्ताह की शुरुआत में प्रकाशित एक ब्लॉग पोस्ट में, क्रिप्टोक्यूरेंसी एक्सचेंज ने इस बात पर भी जोर दिया कि हैकर्स ने कभी भी कॉइनबेस के सुरक्षा बुनियादी ढांचे या व्यापक प्रणालियों का उल्लंघन नहीं किया। "हमें कोई सबूत नहीं मिला है कि इन तृतीय पक्षों ने कॉइनबेस से ही यह जानकारी प्राप्त की है।"

आपकी प्रतिक्रिया क्या है?

like
0
dislike
0
love
0
funny
0
angry
0
sad
0
wow
0