CoinMarketCap, um site de rastreamento de preços para criptomoedas, foi vítima de um hack que vazou 3,1 milhões (3.117.548) de endereços de e-mail de usuários.
A informação veio à tona depois que os endereços de e-mail hackeados foram encontrados para serem negociados e vendidos online em vários fóruns de hackers, e revelados por Have I Been Pwned, um site dedicado a rastrear hacks e contas online comprometidas.
CoinMarketCap, uma subsidiária da Binance, confirmou que a lista de contas de usuário vazadas correspondia à sua base de usuários:
“CoinMarketCap tomou conhecimento de que lotes de dados apareceram online com o propósito de ser uma lista de contas de usuário. Embora as listas de dados que vimos sejam apenas endereços de e-mail, encontramos uma correlação com nossa base de assinantes.”
Ao confirmar a correlação de 3,1 milhões (3.117.548) de endereços de e-mail de usuários com sua base de usuários, a empresa garantiu que os hackers não obtiveram acesso a nenhuma das senhas das contas. O representante da CoinMarketCap:
“Não encontramos nenhuma evidência de vazamento de dados de nossos próprios servidores – estamos investigando ativamente esse problema e atualizaremos nossos assinantes assim que tivermos novas informações.”
Apesar da confirmação, o CoinMarketCap ainda não identificou a causa exata do hack. O CoinMarketCap observou:
“Como nenhuma senha foi incluída nos dados que vimos, acreditamos que provavelmente seja proveniente de outra plataforma onde os usuários podem ter reutilizado as senhas em vários sites.”
Um hack recente na Coinbase resultou no comprometimento de 6.000 contas de usuário.
O ataque foi resultado da exploração do sistema de autenticação multifator (MFA) da exchange, o que sugere que os hackers tiveram acesso aos endereços de e-mail do usuário. De acordo com a Coinbase, os invasores identificaram uma vulnerabilidade no processo de recuperação de conta:
“Neste incidente, para clientes que usam textos SMS para autenticação de dois fatores, o terceiro aproveitou uma falha no processo de recuperação de conta SMS da Coinbase para receber um token de autenticação de dois fatores de SMS e obter acesso à sua conta.”
Embora o valor dos ativos roubados ainda não tenha sido revelado pela Coinbase, o incidente foi complementado por milhares de reclamações formais dos correntistas contra a empresa.
