El exchange de criptomonedas Coinbase, uno de los más grandes e importantes, ha sufrido un ciberataque que ha conllevado la filtración de datos personales de sus trabajadores.
Tras el ataque a Coinbase se encuentra un grupo de piratas informáticos llamado 0ktapus. Su modus operandi es robar las credenciales de los empleados de alguna empresa, generalmente haciéndose pasar por páginas de inicio de sesión de Okta.
Se estima que el año pasado esta pandilla de ciberdelincuentes atacó a más de 130 organizaciones. Un informe de Crowdstrike indica que el grupo ha puesto en su punto de mira últimamente a varias compañías de tecnología y videojuegos. Entre sus víctimas se encuentran Twilio, Cloudflare o DoorDash.
En el ataque concreto a Coinbase los actores de amenazas primero enviaron mensajes de texto (SMS) a varios empleados el pasado 5 de febrero, avisándoles de que debían iniciar sesión con urgencia en el enlace que se les señalaba. Un trabajador picó e introdujo sus credenciales.
A continuación los piratas intentaron iniciar sesión en los sistemas internos de Coinbase con su contraseña y usuario, pero no lo lograron al estar protegidos con autenticación multifactor.
Sin embargo, los cibermalos no tiraron la toalla. Uno de ellos se sirvió de la técnica del vishing o phishing telefónico, haciéndose pasar por el equipo técnico de Coinbase e indicándole a la víctima que iniciara sesión en su estación de trabajo. Esto facilitó al atacante ver la información sensible de los empleados, incluyendo sus nombres completos, direcciones de email y números de teléfono.
"Un actor de amenazas pudo ver el panel de control de una pequeña cantidad de herramientas de comunicación internas de Coinbase y acceder a información de contacto limitada de los empleados", ha comentado a TechCrunch la portavoz de Coinbase, Jaclyn Sales.
“El actor de amenazas pudo ver, a través de una pantalla compartida, ciertas vistas de paneles internos y accedió a información de contacto limitada de los empleados”, añade. No ha trascendido la cifra exacta de trabajadores que podrían haberse visto afectados por este acceso no autorizado.
Los datos de los clientes, a salvo
No obstante, Coinbase perjura que su equipo de seguridad reaccionó rápidamente, evitando que la amenaza escalara a los datos o fondos de los clientes.
Pese a que la información de los usuarios está aparentemente a salvo, el responsable de seguridad de la compañía, Jeff Lunglhofer, les ha recomendado que consideren cambiar a claves de seguridad de hardware para un acceso más fuerte a la cuenta.