L’échange de crypto Coinbase a confirmé qu’il avait été brièvement compromis par les mêmes attaquants qui ont ciblé Twilio, Cloudflare, DoorDash et plus d’une centaine d’autres organisations l’année dernière.
Dans un post-mortem de l’incident publié au cours du week-end, Coinbase a déclaré que les soi-disant pirates « 0ktapus » avaient volé les identifiants de connexion de l’un de ses employés dans le but d’accéder à distance aux systèmes de l’entreprise.
0ktapus est un groupe de piratage qui a ciblé plus de 130 organisations en 2022 dans le cadre d’un effort continu pour voler les informations d’identification de milliers d’employés, souvent en se faisant passer pour les pages de connexion d’Okta. Ce chiffre de 130 organisations est maintenant probablement beaucoup plus élevé, car un rapport CrowdStrike divulgué vu par TechCrunch affirme que le gang cible désormais plusieurs sociétés de technologie et de jeux vidéo.
Dans le cas de Coinbase, les pirates 0ktapus ont d’abord envoyé des SMS falsifiés à plusieurs employés le 5 février les informant qu’ils devaient se connecter de toute urgence en utilisant le lien fourni pour recevoir un message important. Un employé a suivi le lien de phishing et a saisi ses informations d’identification. Dans la phase suivante, l’attaquant a tenté de se connecter aux systèmes internes de Coinbase à l’aide des informations d’identification volées, mais a échoué car l’accès était protégé par une authentification multifacteur.
Environ 20 minutes plus tard, l’attaquant a utilisé le phishing vocal, ou « vishing », pour appeler l’employé prétendant appartenir à l’équipe informatique de Coinbase et a ordonné à la victime de se connecter à son poste de travail. Cela a permis à l’attaquant d’afficher les informations sur les employés, y compris les noms, les adresses e-mail et les numéros de téléphone.
« Un acteur malveillant a pu afficher le tableau de bord d’un petit nombre d’outils de communication internes à Coinbase et accéder aux informations de contact limitées des employés », a déclaré à TechCrunch la porte-parole de Coinbase, Jaclyn Sales. « L’auteur de la menace a pu voir, via un partage d’écran, certaines vues des tableaux de bord internes et accéder aux informations de contact limitées des employés. »
Cependant, Coinbase affirme que son équipe de sécurité a réagi rapidement, empêchant l’accesseur de la menace d’accéder aux données ou aux fonds des clients. « Notre équipe de sécurité a été en mesure de détecter rapidement une activité inhabituelle et d’empêcher tout autre accès aux systèmes ou données internes », a ajouté Sales.
Coinbase a déclaré qu’aucune donnée client n’avait été consultée, mais le responsable de la sécurité de l’information de l’entreprise, Jeff Lunglhofer, a déclaré qu’il recommandait aux utilisateurs d’envisager de passer à des clés de sécurité matérielles pour un accès plus fort au compte, mais n’a pas précisé s’il utilisait des clés matérielles en interne, qui ne peuvent pas être hameçonnées. .