Lumipat ang Coinbase sa Kalmado ang Mga Alalahanin sa Seguridad Sa gitna ng mga Ulat sa Pagnanakaw

Kinumpirma ni Andreessen Horowitz-backed Bitcoin wallet provider Coinbase sa pamamagitan ng isang blog post ng kumpanya noong ika-7 ng Pebrero na "isang maliit na dakot" ng mga customer nito ang naging biktima ng mga pag-atake ng phishing.

Ang mga ulat ng mga kahinaan sa seguridad ng Bitcoin wallet, gayunpaman maliit, gayunpaman, ay umugong nang malawakan sa isang industriya na lalong itinatakwil ng kawalan ng katiyakan ng mainstream media.

Isang hiwalay na account ng mga insidente ng online na mapagkukunan ng balita Ang Verge nagpinta ng ibang larawan ng sitwasyon, na nagmumungkahi na ang mga pagnanakaw, habang sa ilang mga kaso ay kasalanan ng mga gumagamit ng Coinbase, ay malaki at marahil ay mas madalas kaysa sa naiulat.

Kinumpirma ng The Verge ang tinatawag nitong "isang string ng mga pagnanakaw sa Bitcoin na tumama sa serbisyo nitong mga nakaraang linggo".

Sa piraso nito, inilarawan nito ang kuwento ng isang gumagamit ng Coinbase na nagngangalang Jeff, na nawalan ng 10.6 BTC sa bitcoins dahil sa pagnanakaw nitong Disyembre. Ang pinakanatatangi sa kuwento ni Jeff, gayunpaman, ay ONE buwan mamaya, ang kanyang na-refund na pera ay ninakaw muli mula sa serbisyo.

Inihayag ng media outlet na kinumpirma nito ang dalawang magkahiwalay na pagnanakaw na nangyari sa mga gumagamit sa serbisyo bilang karagdagan sa maraming pagnanakaw ni Jeff, sa halagang $16,000 at $5,000, ayon sa pagkakabanggit.

Ang kabuuan ng mga pagnanakaw, gaya ng binanggit ng piraso, ay humigit-kumulang $40,000.

Ang lawak ng mga pag-atake

Sinabi ng security firm na FireEye sa Verge na naniniwala ito na hindi malamang na ang Coinbase ay dumanas ng kahinaan sa buong sistema, at sa halip, ang bawat indibidwal na biktima ay nakompromiso sa paghihiwalay.

Gayunpaman, iminungkahi nito na ang "hindi karaniwang malakas" na API ng Coinbase ay maaaring naging isang kadahilanan:

"Ang tamang API key ay magbibigay-daan sa anumang programa na ilipat ang mga bitcoin sa loob at labas ng isang partikular na account. Kapag nakompromiso ang key, maa-access pa nga ng mga attacker ang mga naka-link na bank account para bumili ng mas maraming bitcoin. Pinapayuhan ang mga user na huwag pahintulutan ang API key kung T nila ito kailangan, ngunit kung ang isang account ay nakompromiso, maaaring magpasya ang mga hacker na pahintulutan ito mismo."

Iminungkahi ng FireEye na ang kumpanya mismo ay hindi mukhang responsable para sa mga pag-atake, na hindi naglalayong sa imprastraktura nito. Dagdag pa, iminungkahi nito na ang kasunduan ng gumagamit ng Coinbase ay malinaw na nagsasaad na ang mga indibidwal ay responsable para sa kaligtasan ng kanilang mga pribadong susi.

Sa pamamagitan ng paggamit ng two-factor authentication ng wallet provider, iminungkahi ng ulat, maaaring napigilan ni Jeff ang pagkawala ng kanyang API key, na kapag nakompromiso ang kanyang account ay maaaring muling na-activate ng mga hacker.

Nag-react ang Coinbase

Ang kumpanyang nakabase sa San Francisco minaliit ang mga pagnanakaw, na nagsasaad na "sa kasamaang-palad ay karaniwan ang phishing sa buong Internet", at binabanggit na nakakaapekto rin ito sa mga institusyon ng pagbabangko, mga tagaproseso ng pagbabayad at mga retailer sa tradisyonal na sistema ng pananalapi.

Dagdag pa, ipinahiwatig ng kumpanya na, dahil sa pag-aalala sa mga pag-atake sa phishing, nagpatupad ito ng mga pinahusay na hakbang sa seguridad, na kapag ginamit kasama ng pinakamahuhusay na kagawian para sa pag-surf sa web, ay makakatulong na limitahan ang mga pangyayaring ito:

"Nagpatupad kami ng ilang pinataas na hakbang sa seguridad, kabilang ang pinalawak na dalawang-factor na hakbang sa pagpapatotoo na idinisenyo upang makatulong na bawasan ang posibilidad ng matagumpay na mga insidente ng phishing sa hinaharap. Nagdagdag din kami ng hakbang sa pag-verify ng email para sa mga pangunahing pagkilos, tulad ng kapag naka-enable ang isang API key."

Tinanggihan ng mga kinatawan ng Coinbase ang karagdagang mga kahilingan para sa komento, na nagsasabi na ang post sa blog ay kumakatawan sa kanilang opisyal na posisyon sa mga pag-atake.

Credit ng larawan: Digital key sa pamamagitan ng Shutterstock