ABD’li bir kişi, Coinbase hesabından 8 bin dolarlık coin çaldırdı

New York’ta yer alan bir VR üretim stüdyosu olan IRL’nin kurucusu Cody Brown, geçtiğimiz günlerde Coinbase’de bulunan hesabından 8 bin Dolar değerindeki coin çalındığını fark etti.

Mevcut koşullara göre, çalınan coinlerin geri döndürülmesinin bir imkanı yok ve Brown’ın kaybı büyük olasılıkla telafi edilemeyecek.

Brown, 2015 yılından beri Coinbase’i kullanmaya başladı ve çoğu kullanıcı gibi Coinbase hesabına “Verizon Mobile” adlı operatöre kayıtlı bir telefon numarası ekledi.

Brown, Coinbase’i iki yıldan uzun süredir binlerce dolarlık Bitcoin, Ether ve Litecoin almak için kullanıyordu.

Bununla birlikte, Coinbase’i kullandığı iki yıl boyunca Brown, Google Authenticator gibi iki faktörlü bir kimlik doğrulama (2FA) güvenlik önlemini etkinleştirmedi ve telefonunda gerekli dolandırıcılık önleme sistemlerini uygulamadı.

Hem Brown’ın Coinbase hesabının hem de Verizon cep telefonunun zayıf güvenlik önlemleri, bilgisayar korsanları ve dolandırıcıların hesabına erişmesini kolaylaştırdı.

Bitcoin cüzdanlarının çoğunluğu kullanıcıların giden işlemlerin onaylanması için ikinci bir parola veya Google Authenticator uygulamasını öneriyor.

Örneğin Xapo, kullanıcıların giden işlemlerini onaylamaları için bir metin ve sayı kombinasyonu tabanlı bir şifre gönderiyor. Bilgisayar korsanları böylece Xapo hesaplarına erişseler bile şifreleri bilmeden saldırıya uğramış hesaptan başka bir hesaba coin gönderemiyorlar.

Xapo ayrıca, kullanıcıların şifreyi değiştirmek için e-posta ve mobil doğrulama kodlarını girmesini istiyor. Bu da genel olarak korsanların Xapo güvenlik sistemini atlatmalarını zorlaştırıyor.

Kullanıcıların Blockchain.info olarak daha iyi tanıdığı Blockchain de benzer bir güvenlik sistemine sahip. Hesaba web üzerinden erişmek için kullanıcıların hem e-posta adreslerine hem de Google Authenticator uygulamasına gönderilen onay kodlarını girmeleri gerekiyor.

Brown’a göre Coinbase, Google Authenticator’ı gerekli görmüyor ve SMS doğrulamayı kabul ediyor.

Hacker, Brown’ın cep telefonuna kolaylıkla ulaşmış

Brown, konuyla ilgili olarak şunları söyledi:

“Verizon’daki müşteri hizmetleri temsilcileri ile konuştuktan sonra hacker’ın pin numaramı veya sosyal güvenlik numaramı vermesine gerek olmadığını, basit fatura bilgileriyle cep telefonu numaramı devralma konusunda onay alabileceğini öğrendim.”

Bilgisayar korsanı, Brown’un Verizon cep telefonuna eriştikten sonra Coinbase’deki hesabına başarılı bir şekilde girdi ve ardından çekim işlemi gerçekleştirdi.

Coinbase hesabından Bitcoin, Litecoin ve Ether çalındı

İşlemden önce korsanın Brown’ın Coinbase hesabının şifresini sıfırladığı ve hesaba bağlı olan cihazı değiştirdiği ortaya çıktı. Brown’ın hesabından harici bir hesaba 1.18 Bitcoin, 70.96 Litecoin ve 16.03 Ether gönderildi.