專供網路使用者查詢個人資料是否遭洩露的網站 Have I Been Pwned 披露,追蹤加密貨幣即時價位與市值的平台 CoinMarketCap 遭到駭客入侵,達 311 萬 7,548 個電子郵件地址因而外洩,且遭盜取的電郵資料被放上多個駭客論壇兜售。
CoinMarketCap 是全球最大加密貨幣交易所幣安(Binance)旗下子公司,且已於 10 月 12 日證實被放上網出售的電郵帳戶與其用戶資料相符:
CoinMarketCap 已經察覺,網路上出現了一批聲稱是本公司使用者帳戶名單的資料。雖然我們所見到的資料僅限於電郵地址,但我們發現,的確與我們的註冊用戶存在關聯。
不過,CoinMarketCap 保證,駭客並未取得任何帳戶的密碼訪問權限。該公司發言人表示:
我沒有在我們的伺服器上發現任何數據外洩的證據—— 我們正積極調查這個問題,一旦有任何新的資訊,將會立即向我們的註冊用戶披露。
CoinMarketCap 雖證實資料外洩一事,但截至目前仍未釐清資料外洩的途徑。在收到媒體的評論要求後,該公司回應:
因我們所見的資料中未包括電郵密碼,我們認為那些資料最有可能的來源是另一個平台,用戶可能在多個平台上重複使用密碼。
加密貨幣交易所 Coinbase 日前也因遭遇駭客攻擊,至少有 6,000 名用戶的帳戶遭到入侵且丟失其中財產。
Coinbase 對用戶身分的「多重要素驗證」(MultiFactor Authentication,MFA)系統,是駭客攻擊的途徑。據 Coinbase 表示,駭客利用了存在於 Coinbase 帳戶恢復流程中的漏洞,這意味駭客掌握了用戶的電郵地址資料。
這此次事件中,客戶使用簡訊進行雙因素驗證時,Coinbase「簡訊帳戶恢復」(SMS Account Recovery process)功能中的漏洞遭到第三方利用,該功能為透過簡訊接收雙重因素驗證代碼以重新取回帳戶。
儘管 Coinbase 未公布因此被竊取的加密資產規模,但已有數千名受害用戶正式提告該公司。