Заява Coinbase свідчить, що дані доступу до ІТ-інфраструктури організації були викрадені.
Одна з найбільших і найвідоміших криптовалютних бірж, Coinbase, повідомила про інцидент з кібербезпекою. Було підтверджено, що ІТ-системи організації були скомпрометовані хакерами, які раніше атакували такі організації, як Twilio, Cloudflare та DoorDash.
Хакери з хакерської групи 0ktapus викрали логін одного зі співробітників компанії і спробували отримати доступ до ІТ-систем організації.
Що відомо про хакерську групу 0ktapus?
Хакерська група 0ktapus атакувала понад 130 організацій у 2022 році, використовуючи схожу схему дій. Їхньою метою була крадіжка облікових даних для входу в ІТ-системи організацій за допомогою підроблених веб-сайтів, які часто видавали себе за сайти Okta.
У випадку з Coinbase, фальшиві SMS-повідомлення були надіслані кільком співробітникам Coinbase. Один з них повівся на фішинг і ввів свої облікові дані.
На наступному етапі була здійснена спроба отримати доступ до внутрішніх систем Coinbase за допомогою скомпрометованих облікових даних. Атака не вдалася завдяки впровадженій системі багатофакторної верифікації – MFA.
Атака була вдалою лише частково
Після невдалої атаки було застосовано вішинг, тобто телефонний дзвінок співробітнику. Хакери представлялися службою підтримки Coinbase і змусили їх увійти на робочу станцію, щоб переглянути інформацію про співробітників, таку як імена, адреси електронної пошти та номери телефонів.
Хакери змогли побачити через спільний доступ до екрану деякі види внутрішніх інформаційних панелей і отримати доступ до обмеженої контактної інформації співробітників, – повідомила прес-секретар компанії.
У Coinbase кажуть, що їхня команда безпеки відреагувала швидко, запобігши доступу до даних або коштів клієнтів.
