Toimunud on Gemini krüptobörsi klientide isikuandmete vargus.
Vargus ei toimunud aga börsi serverites, vaid mõne teise tuvastamata platvormi serverites, mis siiski hoidsid börsi kasutajate isikuandmeid.
Vastavalt ametlik versioon, oli see "intsident kolmandast osapoolest müüja juures".
Krüptovahetus Gemini
Gemini on üks suurimaid USA krüptobörse, mis asub New Yorgis.
Sellel puuduvad mahud Coinbase, kuid kuna see on reguleeritud New Yorgi osariigi seadustega, st üks rangemaid finantssfääris, on sellel palju kliente, kes taotlevad väga kõrget turvalisuse ja vastavuse taset.
Seega oleks väga üllatav, kui rünnak korraldataks nende vastu, kuid selgub, et ära kasutatud haavatavus hõlmas tegelikult kolmanda osapoole müüjat.
Nüüd on üha enam juhtum, et krüptovahetused suhtlevad, sageli automatiseeritud robotite kaudu, teiste väliste platvormidega, kus turvatasemed on mõnikord palju madalamad.
Andmete vargus
Juhtunu ametlik versioon on, et väidetavalt varastati Gemini klientide e-posti aadressid ja osa nende telefoninumbritest. Õnneks ei paista aga Gemini kontodega seotud infot varastatud olevat ning vahetust see juhtum ei mõjutanud.
Nii said häkkerid kätte vaid e-posti aadresside nimekirja (umbes 5.7 miljonit) ja puudulikke telefoninumbreid.
Selgub, et nad kasutasid neid seejärel Gemini klientide vastu suunatud andmepüügikampaania käivitamiseks.
Teisisõnu saatsid nad varguse käigus kogutud aadressidele e-kirju, esinedes Kaksikutena ja küsides ilmselt kuidagi sisselogimisandmeid. Pole üllatav, et Gemini soovitas oma klientidel muuta oma konto meiliaadressi, kuid eriti aktiveerida 2FA sisselogimine, et ainult kasutajanime ja parooliga oleks kontole ligipääs võimatu.
Vahetusel on praegu väidetavalt umbes 13 miljonit kasutajat, seega on varastatud meilide arv veidi alla poole.
Mis on Gemini krüptobörsi klientide jaoks ohus
Tegelikkuses saavad häkkerid ainult e-posti aadressiga teha väga vähe, välja arvatud saata sõnumeid, milles küsitakse Kaksikutena esinedes sisselogimisandmeid.
Erinev asi oleks see, kui neil õnnestuks pääseda juurde platvormile, mida kasutatakse nendele aadressidele saadetud sõnumite lugemiseks, st kui neil õnnestuks neid e-kirju häkkida. Sel juhul võivad nad tegelikult paluda vahetusel parooli vahetada, määrata uus ja siseneda.
Ilmselgelt oleks parem, kui e-posti kontod poleks häkitavad, kuid mitte kõik ei kasuta hästi kaitstud keerukate paroolide ja võib-olla 2FA sisselogimisega kontosid.
Sama kehtib ka börsil olevate kontode kohta, sest väga nõrga parooli ja 2FA puudumise korral võivad e-posti aadressi omavad häkkerid proovida sisse logida, kasutades meili kasutajanimena ja proovida mõnda juhuslikku lihtsat parooli, lootes õiget ära arvata.
Seetõttu on alati soovitatav kasutada nii keerulisi, st mitte kergesti äraarvatavaid paroole, kui ka eriti lubada sisselogimist 2FA-ga, st kinnitusega mobiiltelefoni või veelgi parem rakenduse kaudu.
Ka seepärast, et selliseid juhtumeid on varem juhtunud ja kindlasti juhtub ka tulevikus.
Phishing
Phishing, mida häkkerid kasutavad selleks, et sundida Gemini kasutajaid vabatahtlikult oma sisselogimismandaate andma, on äärmiselt levinud tehnika.
Tegelikult on väga lihtne saata meilisõnumit, mille saatjaks näib olevat mis tahes e-posti aadress, isegi see, mis kuulub teistele, ning samuti on väga lihtne kopeerida algsete meilide graafilist paigutust.
Seega, kui häkkerid said kätte miljonite Gemini klientide e-posti aadressid, lõid nad sõnumid, mis jäljendasid börsi tavalisi sõnumeid, ja saatsid need neile aadressidele. Sellel sõnumil oli kaks eesmärki: veenda pahaaimamatuid adressaate, et see oli sõnum Kaksikutelt, ja veenda neid sel hetkel saatma oma vahetuse sisselogimismandaadid häkkerite veebisaidile. Pole teada, kui paljud sööda võtsid, osaliselt seetõttu, et see tehnika 2FA puhul ei tööta.
Tegelikult on 2FA kaudu sisselogimiseks vaja mitte ainult kasutajanime ja parooli, vaid ka lisakoodi, mida klient ei tea ja mille peab talle tegelikult saatma börs ise. Andmepüügimeilide puhul on sellise koodi saatmine äärmiselt keeruline.
Allikas: https://en.cryptonomist.ch/2022/12/16/gemini-crypto-exchange/