Numerosi utenti di Coinbase si sono trovati i loro account vuoti, hackerati. Qualcuno è riuscito a intrufolarsi nei loro profili e a prelevare le criptovalute.
Ad occuparsi di queste storie è CNBC in un lungo report.
Summary
Gli account di Coinbase hackerati
Nel lungo articolo della CNBC si raccontano diversi episodi. Uno in particolare risalta: è quello di Tanja e Jared Vidovic, che narrano di aver perso ben 168.000 dollari in criptovalute che erano custoditi nell’account Coinbase. Avevano ricevuto dei security alert e non appena hanno avuto accesso al loro account hanno fatto l’amara scoperta.
Vengono raccontate altre esperienze simili, con perdite rilevanti. Tutte hanno una cosa in comune. La vulnerabilità non è stata di Coinbase ma dei singoli utenti, probabilmente vittime di casi di SIM swapping.
Accade infatti che un malintenzionato riesca a prendere il controllo della SIM card del malcapitato utente. Così ha accesso direttamente al telefono, riuscendo a controllarlo, a carpire dati e informazioni sensibili, e a rivenderle sul dark web. In questo modo gli utenti si ritrovano loro malgrado con gli account violati, per una vulnerabilità che non è da attribuire a Coinbase.
Il supporto Coinbase
Ma tutti loro si sono rivolti al supporto di Coinbase per ricevere assistenza e ristoro. Quasi sempre la risposta è che Coinbase non può fare nulla, trattandosi di una violazione non imputabile all’exchange, ed essendo impossibile riconvertire una transazione una volta convalidata sulla blockchain.
Le storie raccontate da CNBC non sono che una piccola parte. Basta farsi un giro sul profilo Twitter di Coinbase Support, quello ufficiale dedicato all’assistenza clienti, per scoprire tanti commenti di utenti che hanno subito l’hack del proprio account e non hanno avuto l’assistenza che desideravano.
In molti si sono lamentati soprattutto di non aver mai potuto interagire con l’exchange, con l’assistenza limitata al solo scambio di mail.
Cosa sta facendo Coinbase
Coinbase ha fatto recentemente sapere in un blog post di essere perfettamente consapevole del fenomeno. I cosiddetti ATO (account takeovers) riguardano lo 0,01% degli utenti, che su una popolazione di 68 milioni di iscritti fanno 6.800 casi. Non sono certo pochi. Ad ogni modo, Coinbase ha attivato un supporto telefonico per questa utenza.
L’exchange fa il possibile per proteggere i suoi clienti:
- Il 2FA è obbligatorio,
- È richiesta la verifica in caso di accesso da dispositivo sconosciuto;
- Viene incoraggiato l’utilizzo di hardware security keys per proteggere gli account.
Tuttavia non può prevenire i casi di phishing, SIM swap, e scam vari che compromettono la sicurezza del device e aprono le porte degli account a sconosciuti malintenzionati.
Ciò nonostante, da Coinbase fanno sapere:
“Il nostro obiettivo è quello di proteggere i nostri clienti mentre partecipano alla criptoeconomia, fornendo loro anche la migliore esperienza utente possibile. Detto questo, riconosciamo che il nostro lavoro non è mai finito quando si tratta di sicurezza e supporto – e rimangono una priorità assoluta per Coinbase”.
Cosa fare per proteggersi
Che piaccia o meno alle malcapitate vittime, Coinbase non è responsabile delle loro perdite. Infatti chi vive il mondo crypto sa che una delle prime regole è non tenere i propri fondi custoditi sugli exchange. Sempre meglio spostarli su un hardware wallet. I leader del settore sono Ledger e Trezor.
Ci sono poi altre semplici regole da seguire per evitare di incappare in incidenti e truffe. Una, è fare attenzione in particolare alle email di phishing, alle comunicazioni che sembrano provenire da una fonte attendibile che richiedono di reimpostare il proprio username e password. Anche se quelle mail sono perfettamente identiche come layout a quelle che ci si aspetterebbe di ricevere da quel tipo di mittente, ogni volta che si riceve una richiesta del genere che riguarda il reinserimento dei propri dati, bisogna sempre porsi la domanda: perché? A questo punto, contattare direttamente il mittente per accertarsi che la mail sia originale, non è mai un’opzione sbagliata.
