Coinbase getroffen door datalek na phishingaanval

Cryptobeurs Coinbase is begin deze maand getroffen door een datalek nadat een medewerker in een phishingaanval trapte. Bij de aanval werden contactgegevens van personeel buitgemaakt. Volgens Coinbase kan iedereen slachtoffer van social engineering worden.

De aanval begon met een sms-bericht waarin ontvangers werd gesteld dat ze via de meegestuurde link moesten inloggen om een belangrijk bericht te zien. Eén medewerker deed dit en vulde zijn gebruikersnaam en wachtwoord op een phishingsite in. Met de inloggegevens probeerde de aanvaller vervolgens op systemen van Coinbase in te loggen. Dit mislukte, omdat de cryptobeurs van multifactorauthenticatie gebruikmaakt en de aanvaller hier niet over beschikte.

Twintig minuten nadat de medewerker zijn inloggegevens op de phishingsite had ingevuld werd hij door de aanvaller gebeld, die zich voordeed als een medewerker van de automatiseringsafdeling. Op verzoek van de aanvaller logde de Coinbase-medewerker in op zijn werkstation en volgde diens instructies op. Volgens Coinbase werden de verzoeken van de aanvaller aan de medewerker naarmate het gesprek vorderde steeds verdachter.

Uiteindelijk wist de aanvaller toegang tot het interne telefoonboek van Coinbase te krijgen en contactgegevens van medewerkers te stelen. Het gaat om namen, e-mailadressen en telefoonnummers. Het Computer Security Incident Response Team (CSIRT) van Coinbase werd door het eigen Security Incident and Event Management (SIEM) systeem gewaarschuwd over verdachte activiteit met account. Het securityteam nam hierna contact op met de medewerker die toen alle communicatie met de aanvaller verbrak.

Coinbase claimt dat er geen geld en klantgegevens zijn buitgemaakt.

Alles bij de bron; Security