專供網路使用者查詢個人資料是否遭洩露的網站HaveIBeenPwned披露,追蹤加密貨幣即時價位與市值的平臺CoinMarketCap遭到駭客入侵,達311萬7,548個電子郵件地址因而外洩,且遭盜取的電郵資料被放上多個駭客論壇兜售。
CoinMarketCap是全球最大加密貨幣交易所幣安(Binance)旗下子公司,且已於10月12日證實被放上網出售的電郵賬戶與其使用者資料相符:CoinMarketCap已經察覺,網路上出現了一批聲稱是本公司使用者賬戶名單的資料。雖然我們所見到的資料僅限於電郵地址,但我們發現,的確與我們的註冊使用者存在關聯。
不過,CoinMarketCap保證,駭客並未取得任何賬戶的密碼訪問許可權。該公司發言人表示:我沒有在我們的伺服器上發現任何資料外洩的證據——我們正積極調查這個問題,一旦有任何新的資訊,將會立即向我們的註冊使用者披露。
CoinMarketCap雖證實資料外洩一事,但截至目前仍未釐清資料外洩的途徑。在收到媒體的評論要求後,該公司迴應:因我們所見的資料中未包括電郵密碼,我們認為那些資料最有可能的來源是另一個平臺,使用者可能在多個平臺上重複使用密碼。
加密貨幣交易所Coinbase日前也因遭遇駭客攻擊,至少有6,000名使用者的賬戶遭到入侵且丟失其中財產。
Coinbase對使用者身份的多重要素驗證(Multi Factor Authentication,MFA)系統,是駭客攻擊的途徑。據Coinbase表示,駭客利用了存在於Coinbase賬戶恢復流程中的漏洞,這意味駭客掌握了使用者的電郵地址資料。
這此次事件中,客戶使用簡訊進行雙因素驗證時,Coinbase簡訊賬戶恢復(SMS Account Recoveryprocess)功能中的漏洞遭到第三方利用,該功能為透過簡訊接收雙重因素驗證程式碼以重新取回賬戶。
儘管Coinbase未公佈因此被竊取的加密資產規模,但已有數千名受害使用者正式提告該公司。