Zgodila se je kraja osebnih podatkov strank kripto borze Gemini.
Vendar pa se kraja ni zgodila na strežnikih borze, temveč na strežnikih druge neidentificirane platforme, ki je kljub temu hranila osebne podatke uporabnikov borze.
Glede na uradna verzija, je bil "incident pri tretjem ponudniku."
Kripto borza Gemini
Gemini je ena največjih ameriških kripto borz s sedežem v New Yorku.
Nima obsega Coinbase, a ker je urejeno v skladu z zakoni zvezne države New York, tj. enimi najstrožjih na finančnem področju, ima veliko strank, ki iščejo zelo visoko raven varnosti in skladnosti.
Zato bi bilo zelo presenetljivo, če bi bil napad izveden proti njim, vendar se je izkazalo, da je izkoriščena ranljivost dejansko vključevala tretjega ponudnika.
Zdaj je vedno pogosteje, da kriptovalute komunicirajo, pogosto prek avtomatiziranih botov, z drugimi zunanjimi platformami, kjer so ravni varnosti včasih precej nižje.
Kraja podatkov
Uradna različica dogodka je, da naj bi prišlo do kraje elektronskih naslovov strank Gemini in dela njihovih telefonskih številk. Na srečo pa se zdi, da nobena informacija v zvezi z računi Gemini ni bila ukradena in ta incident ni vplival na izmenjavo.
Hekerjem se je tako uspelo dokopati le do seznama elektronskih naslovov (približno 5.7 milijona) in nepopolnih telefonskih številk.
Izkazalo se je namreč, da so jih nato uporabili za sprožitev lažnega predstavljanja proti Geminijevim strankam.
Z drugimi besedami, pošiljali so e-pošto na naslove, ki so jih zbrali s krajo, predstavljali so se kot Gemini in verjetno nekako zahtevali podatke za prijavo. Ni presenetljivo, da je Gemini svojim strankam predlagal, naj spremenijo e-poštni naslov svojega računa, predvsem pa naj aktivirajo prijavo 2FA, tako da ne bo mogoče dostopati do računa samo z uporabniškim imenom in geslom.
Borza trenutno trdi, da ima približno 13 milijonov uporabnikov, tako da je število ukradenih e-poštnih sporočil nekaj manj kot polovica.
Kaj je ogroženo za stranke kripto borze Gemini
V resnici lahko hekerji samo z e-poštnim naslovom naredijo zelo malo, razen pošiljanja sporočil, ki zahtevajo poverilnice za prijavo, in se predstavljajo kot Gemini.
Druga stvar bi bila, če bi jim uspelo pridobiti dostop do platforme, ki se uporablja za branje sporočil, poslanih na te naslove, torej če bi jim uspelo vdreti v to elektronsko pošto. V tem primeru bi dejansko lahko od borze zahtevali spremembo gesla, nastavitev novega in vstop.
Očitno bi bilo bolje, če v e-poštne račune ne bi bilo mogoče vdreti, vendar vsi ne uporabljajo dobro zaščitenih računov s kompleksnimi gesli in morda prijavo 2FA.
Enako velja za račune na borzi, saj se lahko v primeru zelo šibkega gesla in brez 2FA hekerji, ki imajo e-poštni naslov, poskusijo prijaviti z e-poštnim naslovom kot uporabniškim imenom in preizkusijo nekaj naključnih preprostih gesel, v upanju uganiti pravega.
Zato je vedno priporočljiva tako uporaba zapletenih gesel, ki jih ni lahko uganiti, kot predvsem omogočanje prijave z 2FA, torej s potrditvijo preko mobilnega telefona ali še bolje prek aplikacije.
Tudi zato, ker so se takšni primeri že dogajali in se bodo v prihodnje zagotovo še ponovili.
Ribarjenje
Ribarjenje, ki ga hekerji uporabljajo, da poskušajo uporabnike Gemini prepričati, da prostovoljno posredujejo svoje poverilnice za prijavo, je zelo pogosta tehnika.
Pravzaprav je zelo preprosto poslati e-poštno sporočilo, za katerega je videti, da ima kot pošiljatelj kateri koli e-poštni naslov, tudi tistega, ki pripada drugim, prav tako pa je zelo enostavno kopirati grafično postavitev izvirnih e-poštnih sporočil.
Tako so hekerji, ko so se dokopali do elektronskih naslovov milijonov Geminijevih strank, ustvarili sporočila, ki so posnemala običajna sporočila borze, in jih poslali na te naslove. Cilj tega sporočila je bil dvojen: prepričati nič hudega sluteče prejemnike, da gre za sporočilo od Gemini, in jih na tej točki prepričati, da pošljejo svoje poverilnice za prijavo v izmenjavo hekerskemu spletnemu mestu. Ni znano, koliko jih je zagrizlo v vabo, deloma zato, ker ta tehnika v primeru 2FA ne deluje.
Pravzaprav prijava prek 2FA ne zahteva le uporabniškega imena in gesla, ampak tudi dodatno kodo, ki je stranka ne pozna in ji jo mora dejansko poslati borza sama. Pri e-poštnih sporočilih z lažnim predstavljanjem je takšno kodo izjemno težko poslati.
Vir: https://en.cryptonomist.ch/2022/12/16/gemini-crypto-exchange/