Ошибка или реальный взлом? Coinbase провернула сценарий фильма ужасов
Как несколько секунд паники превратились в долгие часы расследований?
Coinbase исправила баг в журнале активности аккаунтов, который вызвал волну тревоги среди пользователей. Ранее система ошибочно отмечала попытки входа с неправильным паролем как сбои двухфакторной аутентификации, создавая иллюзию, будто злоумышленники знают логины и пароли клиентов.
Проблему впервые заметили в начале апреля. Пользователи, столкнувшиеся с ошибкой «second_factor_failure» или «2-step verification failed», были уверены, что их данные скомпрометированы. Такие уведомления обычно означают, что пароль введён верно, а ошибка произошла на этапе подтверждения через код из приложения-аутентификатора.
Множество клиентов платформы сообщили журналистам, что их пароли были уникальными и ни одно другое приложение не подверглось атакам. Из-за паники люди массово сбрасывали пароли и тратили часы на проверку своих устройств в поисках вредоносного ПО.
Однако Coinbase подтвердил: журнал активности ошибочно классифицировал неудачные попытки входа, даже если пароль был введён неправильно, как сбой двухфакторной проверки. На самом деле злоумышленники не проходили дальше этапа ввода пароля.
Компания уже выпустила обновление, исправив некорректную маркировку. Теперь в подобных случаях пользователи увидят запись «Password attempt failed», что более точно отражает суть происходящего.
Подобные ошибки в логах опасны не только из-за паники. Их могли бы использовать и для атак социальной инженерии, убеждая жертв, что их аккаунты действительно взломаны. Такие сценарии особенно актуальны для клиентов криптоплатформ: преступники регулярно проводят фишинговые кампании, чтобы выманить у людей коды двухфакторной аутентификации или пароли.
Хотя не удалось подтвердить случаи, когда именно данная ошибка использовалась в атаках, фон для злоупотреблений был создан. Тем более что мошенники активно применяют SMS-фишинг и голосовые звонки, выдавая себя за сотрудников Coinbase.
Компания напоминает, что никогда не звонит клиентам и не просит по телефону или SMS менять пароли или сбрасывать двухфакторную аутентификацию. Все такие сообщения следует считать мошенническими.