Coinbase a corrigé un bogue déroutant dans les journaux d’activité de son compte qui faisait penser aux utilisateurs que leurs informations d’identification étaient compromises.
Comme Breachtrace l’a signalé pour la première fois plus tôt ce mois-ci, Coinbase avait étiqueté à tort les tentatives de connexion infructueuses avec des mots de passe incorrects comme des échecs d’authentification à deux facteurs dans les journaux d’activité du compte.
Lorsqu’un acteur malveillant tentait d’accéder au compte d’une personne et utilisait le mauvais mot de passe, des messages d’erreur indiquant « second_factor_failure » ou « Échec de la vérification en 2 étapes » s’affichaient à la place.
Ces entrées impliquent qu’un nom d’utilisateur et un mot de passe valides ont été saisis, mais la connexion a été bloquée par une authentification à 2 facteurs, telle que la saisie d’un code d’accès unique incorrect à partir d’une application d’authentification.
De nombreux utilisateurs de Coinbase ont contacté Breachtrace pour s’inquiéter du fait que Coinbase avait été piraté car leurs mots de passe étaient uniques au site, il n’y avait aucun signe de logiciel malveillant et aucun autre compte n’était affecté.
Cependant, Coinbase a confirmé à Breachtrace que son système de journalisation attribuait à tort les tentatives de connexion avec des mots de passe incorrects comme des « échecs 2FA », même si les attaquants n’avaient pas réussi à atteindre le stade 2FA.
Coinbase a maintenant poussé une mise à jour pour corriger cet étiquetage incorrect afin que les journaux « Échec de la tentative de mot de passe » soient affichés à la place dans l’activité du compte.
Des bogues comme celui-ci sont essentiels à corriger car ils provoquent une panique inutile, les utilisateurs disant à Breachtrace qu’ils avaient réinitialisé tous leurs mots de passe et passé des heures à essayer de déterminer si leurs appareils avaient été compromis à cause de ce bogue.
Ces entrées mal étiquetées auraient également pu être utilisées dans des attaques d’ingénierie sociale pour convaincre les utilisateurs que les informations d’identification de leur compte étaient compromises, permettant potentiellement aux auteurs de menaces d’obtenir des informations sensibles.
Les acteurs de la menace ciblent généralement les clients de Coinbase dans des attaques d’ingénierie sociale pour accéder à leurs comptes et drainer la crypto-monnaie stockée.
Breachtrace a été informé que les acteurs de la menace utilisaient ces messages d’erreur mal étiquetés dans le cadre de telles attaques, mais ne pouvaient pas vérifier de manière indépendante si c’était vrai.
Cependant, les campagnes en cours utilisent des attaques automatisées de phishing par SMS (hameçonnage sms) et des appels vocaux pour usurper l’identité de Coinbase et tenter de voler des jetons ou des informations d’identification 2FA, de sorte que tous les utilisateurs doivent se méfier.
Coinbase a déclaré dans le passé qu’ils n’appelleraient jamais les clients ou n’enverraient jamais de SMS leur demandant de changer de mot de passe ou de réinitialiser l’authentification à deux facteurs et que les clients devraient traiter tous ces messages comme des escroqueries.