Maltese cryptocoin-makelaar Foris DAX MT Ltd, beter bekend onder de domeinnaam Crypto.com, heeft eerder deze maand een "bankoverval" van meerdere miljoenen dollars meegemaakt.

Volgens een kort beveiligingsrapport gisteren gepubliceerd, ondervonden 483 klanten spookopnames van in totaal iets meer dan 4800 Ether-tokens, iets meer dan 440 Bitcoin-tokens en iets meer dan $ 66,000 in wat alleen wordt vermeld als "andere cryptocurrencies".

Als we geschatte omrekeningskoersen gebruiken voor 17 januari 2022 (ETH1=$3300 en BTC1=$43,000), toen de valse transacties werden ontdekt, komt het totale verlies als gevolg van deze overval op ongeveer $35,000,000.

Wat ging er mis?

Crypto.com beweert dat "alle getroffen accounts zijn volledig hersteld", waarvan we aannemen dat dit betekent dat klanten met spookopnames werden vergoed door Crypto.com zelf.

Details over hoe de boeven de aanval hebben uitgevoerd, worden niet gegeven in het rapport, dat alleen maar zegt: "transacties werden goedgekeurd zonder dat de 2FA-authenticatiecontrole door de gebruiker werd ingevoerd."

Wat het rapport niet verklaart, of zelfs maar vermeldt, is of 2FA-codes door iemand zijn ingevoerd – zij het niet door klanten zelf – om de frauduleuze opnames te autoriseren, of dat het 2FA-gedeelte van het authenticatieproces op de een of andere manier volledig is omzeild.

Dit betekent dat we niet gemakkelijk kunnen zeggen hoe of waarom het 2FA-proces niet goed werkte, hoewel er verschillende mogelijke verklaringen in ons opkomen.

Als u geïnteresseerd bent in hoe uw eigen 2FA-systeem zou kunnen falen, moet u een lange lijst met mogelijkheden overwegen, waaronder:

• Een fundamentele fout in het onderliggende 2FA-systeem. Een op sms gebaseerd systeem van eenmalige numerieke codes dat was gebaseerd op een defecte willekeurige generator, zou bijvoorbeeld gisbare reeksen kunnen produceren waarmee aanvallers de juiste code kunnen voorspellen die voor sommige of alle gebruikers moet worden ingevoerd.
• Een inbreuk op de 2FA-authenticatiedatabase. Een op een app gebaseerd codegeneratorsysteem vertrouwt bijvoorbeeld meestal op een gedeeld geheim dat bekend staat als a zaad, wat niet kan zijn opgeslagen als een hash als een gewoon wachtwoord. Zowel de client als de server moeten tijdens het inloggen toegang hebben tot de leesbare tekst van de seed, dus een inbreuk op de server kan een aanvaller de details geven die nodig zijn om de eenmalige codereeksen voor sommige of alle gebruikers te berekenen.
• Slechte codering in het online inlogproces. Een slecht geconfigureerde authenticatieserver kan onbedoeld toestaan ​​dat het loginverzoek van de client de gebruikte configuratie-instellingen manipuleert, bijvoorbeeld door niet-gedocumenteerde HTTP-headers op te nemen of door speciale URL-parameters toe te voegen die onverwacht bestaande veiligheidsmaatregelen overschrijven.
• Zwakke interne controles om risicovol gedrag door ondersteunings- of IT-personeel te detecteren. Bijvoorbeeld, overdreven behulpzame (of opzettelijk corrupte) insiders worden mogelijk niet onderworpen aan peer review, of tweede sign-off, voor kritieke accountwijzigingen. Dit is hoe de beruchte Twitter-hack van 2020 is gebeurd: spraakmakende accounts zoals Joe Biden, Elon Musk, Barack Obama, Bill Gates, Apple en anderen werden overgenomen vanwege behulpzaam ondersteunend personeel waardoor de aanvallers de e-mailadressen konden wijzigen die werden gebruikt om die accounts te beveiligen.
• Fail-open-gedrag in het authenticatieproces. Toegangscontrolesysteem moet soms: mislukt gesloten, bijvoorbeeld zodat niemand kan binnensluipen als het systeem kapot gaat, en soms moet mislukt open, bijvoorbeeld zodat niemand wordt opgesloten tijdens een evacuatienoodgeval. Onverwachte redenen voor een systeembreuk kunnen leiden tot onjuiste faalmodi waardoor het systeem onjuist geconfigureerd blijft, zoals ontgrendeld voor iedereen wanneer het volledig moet worden afgesloten.

Wat er daarna gebeurde?

Crypto.com beweert dat het heeft “gemigreerd naar een geheel nieuwe 2FA infrastructuur”, blijkbaar uit “een overvloed aan voorzichtigheid”.

We hebben nooit helemaal begrepen wat de woorden "een overvloed aan voorzichtigheid" zouden moeten betekenen, aangezien overreacties op cyberbeveiliging net zo kostbaar en contraproductief kunnen zijn als onderreacties, maar het lijkt een must-say te zijn in hedendaagse inbreukrapporten, omdat als het bedachtzaam is passend voorzorgsmaatregelen is niet meer goed genoeg.

Immers, als de hoofdoorzaak van uw 2FA-storing reden (1) hierboven was - een intrinsieke tekortkoming in het 2FA-systeem zelf - dan lijkt het gepast om een ​​root-and-branch-verandering door te voeren door deze te ruilen voor een geheel nieuwe 2FA-technologie.

Maar als de hoofdoorzaak reden (5) hierboven was - ondersteunend personeel is te gemakkelijk in staat om accountresets te autoriseren - dan zou het veranderen van de onderliggende 2FA-technologie weinig of geen verschil kunnen maken.

Wat te doen?

• Als u een klant van Crypto.com bent, moet u uw account opnieuw configureren om het nieuwe systeem te gebruiken. Met name is er blijkbaar nu een zonsopgangperiode van 24 uur voor het toevoegen van nieuwe accounts voor saldooverdrachten. Dit is bedoeld om u extra tijd te geven om onverwachte accountwijzigingen van oplichters op te sporen of te waarschuwen.
• Als u 2FA aan uw eigen online services wilt toevoegen, test dan niet alleen de voor de hand liggende onderdelen van het systeem. Zorg ervoor dat u alle interactiepunten met de rest van uw systeem in overweging neemt en overweeg om penetratietesters in te huren om te zoeken naar onverwachte soorten storingen.
• Als u zich bezighoudt met PR of marketing, laat het hele bedrijf dan oefenen hoe het zal reageren als er een inbreuk zou plaatsvinden. Dit betekent niet dat u verwacht te falen. Maar het betekent wel dat als u betrapt wordt, het juridisch en moreel noodzakelijke proces van communiceren met uw ongelukkige klanten geen planningstijd opslorpt die u beter kunt besteden aan het onderzoeken en oplossen van het probleem.