È avvenuto un furto di dati personali dei clienti dell’exchange crypto Gemini.
Il furto però non è avvenuto sui server dell’exchange, ma su quelli di un’altra piattaforma non meglio identificata che tuttavia deteneva dati personali dei clienti dell’exchange.
Secondo la versione ufficiale si sarebbe trattato di “un incidente presso un fornitore di terze parti”.
Summary
Il crypto exchange Gemini
Gemini è uno dei maggiori exchange crypto statunitensi, con sede a New York.
Non ha i volumi di Coinbase, ma dato che è regolamentato secondo le leggi dello Stato di New York, ovvero uno dei più rigidi in ambito finanziario, ha molti clienti che cercano livelli di sicurezza e compliance molto elevati.
Per questo stupirebbe molto qualora l’attacco fosse stato portato a termine nei loro confronti, ma a quanto pare la vulnerabilità sfruttata riguardava in realtà un fornitore terzo.
Ormai capita sempre più spesso che gli exchange crypto interagiscono, spesso tramite bot automatici, con altre piattaforme esterne, dove a volte i livelli di sicurezza sono di gran lunga inferiori.
Il furto dei dati
La versione ufficiale dell’accaduto è che l’incidente avrebbe causato il furto degli indirizzi e-mail dei clienti Gemini, e di parte dei loro numeri di telefono. Fortunatamente invece non risulta essere stata rubata alcuna informazione relativa agli account Gemini, e l’exchange non è stato influenzato da questo incidente.
Quindi gli hacker sono riusciti ad impossessarsi solo di una lista di indirizzi di posta elettronica (circa 5,7 milioni) e di numeri di telefono incompleti.
Infatti risulta che li abbiano poi utilizzati per lanciare una campagna di phishing nei confronti dei clienti di Gemini.
In altre parole hanno inviato delle email agli indirizzi raccolti grazie al furto spacciandosi per Gemini e probabilmente chiedendo in qualche modo i dati di accesso. Non a caso Gemini ha suggerito ai propri clienti di cambiare l’indirizzo email del loro account, ma soprattutto di attivare il login 2FA in modo da rendere impossibile l’accesso all’account con solo username e password.
L’exchange in questo momento dichiara di avere circa 13 milioni di utenti, quindi il numero di email sottratte è un po’ meno della metà.
Cosa rischiano i clienti del crypto exchange Gemini
In realtà con il solo indirizzo email gli hacker possono fare ben poco, se non per l’appunto inviare messaggi con cui chiedere le credenziali di accesso, spacciandosi per Gemini.
Sarebbe diverso invece se riuscissero ad avere accesso alla piattaforma utilizzata per leggere i messaggi inviati a quegli indirizzi, ovvero se riuscissero a violare quelle email. In tal caso infatti potrebbero richiedere all’exchange il cambio di password, impostarne una nuova, ed entrare.
Ovviamente sarebbe meglio se gli account email non fossero violabili, ma non tutti utilizzano piattaforme ben protette, con password complesse e magari il login con 2FA.
La stessa cosa vale per gli account sull’exchange, perchè in caso di password molto debole, ed assenza di 2FA, gli hacker in possesso dell’indirizzo email potrebbero provare ad accedere utilizzando l’email come username e provando un po’ di password semplici a caso sperando di indovinare quella giusta.
Per questo motivo si consiglia sempre sia di utilizzare password complesse, ovvero non facilmente indovinabili, sia soprattutto di attivare il login con 2FA, ovvero con conferma via cellulare, o ancora meglio via app.
Anche perché di casi come questi ne sono già accaduti in passato, e sicuramente ne accadranno ancora in futuro.
Il phishing
Il phishing, utilizzato dagli hacker per cercare di farsi dare dagli utenti di Gemini volontariamente le loro credenziali di accesso, è una tecnica estremamente diffusa.
Infatti è molto facile inviare un messaggio di posta elettronica che risulti avere come mittente un qualsiasi indirizzo email, anche appartenente ad altri, ed è molto facile anche copiare il layout grafico di email originali.
Quindi gli hacker una volta entrati in possesso degli indirizzi email di milioni di clienti di Gemini hanno creato dei messaggi che riproducevano quelli soliti dell’exchange, e li hanno inviati a quegli indirizzi. L’obiettivo di questo messaggio era duplice: convincere gli ignari destinatari che si trattava di un messaggio proveniente da Gemini, ed a quel punto convincerli ad inviare ad un sito web degli hacker le loro credenziali di accesso all’exchange. Non è noto quanti abbiano abboccato, anche perché questa tecnica non funziona in caso di 2FA.
Infatti per accedere tramite 2FA non bastano username e password, ma occorre anche un codice aggiuntivo che il cliente non conosce e che di fatto deve farsi inviare dall’exchange stesso. Con le email di phishing è estremamente difficile farsi inviare tale codice.
