Platforma za razmjenu kriptovaluta Coinbase pretrpjela je sigurnosni incident koji je doveo do toga da su napadači došli do korisničkih podataka koji im mogu pomoći u izvođenju napada socijalnog inženjeringa. Kompanija je to danas potvrdila podnošenjem izvještaja Američkoj komisiji za hartije od vrijednosti i berzu (SEC).
Napad nije uključivao kompromitaciju sistema ili mreža kompanije. Umjesto toga, do podataka su došli maliciozni agenti korisničke podrške.
Kako je došlo do napada?
Prema navodima kompanije sa sjedištem u SAD-u, kriminalci su podmitili određene agente korisničke podrške da kopiraju korisničke podatke i podijele ih s njima.
„Njihov cilj bio je prikupiti listu korisnika kako bi ih mogli kontaktirati pretvarajući se da su Coinbase — i tako ih prevariti da predaju svoje kriptovalute. Nakon toga su pokušali ucijeniti Coinbase tražeći 20 miliona dolara kako bi prikrili incident“, podijelio je Coinbase, dodajući da nisu — niti će — platiti otkupninu.
„Umjesto da platimo ucjenu, osnivamo fond nagrada od 20 miliona dolara za informacije koje vode do hapšenja i osude napadača.“
Kompromitovani podaci
Dana 11. maja 2025. Coinbase je primio email od napadača s prijetnjom da će objaviti kompromitovane informacije ukoliko im se ne plati.
„Napadač je, prema svemu sudeći, došao do informacija tako što je platio više izvođača radova ili zaposlenih u podršci koji rade izvan SAD-a, da prikupe podatke iz internih Coinbase sistema kojima su imali pristup u okviru svojih radnih zadataka“, navodi se u prijavi SEC-u.
Sigurnosni sistem Coinbasea je već ranije detektovao slučajeve u kojima su uposlenici pristupali podacima bez opravdanja. Ti agenti su otpušteni, a korisnici čiji su podaci možda kompromitovani su obaviješteni.
Rogue agenti su došli do korisničkih podataka kao što su: ime, adresa, broj telefona, email adresa, zadnje četiri cifre broja socijalnog osiguranja, maskirani brojevi bankovnih računa i neki bankovni identifikatori, slike ličnih dokumenata izdanih od strane vlade, te podaci o računu (istorija transakcija, stanje na Coinbase računu).
Nisu imali pristup korisničkim login podacima, 2FA kodovima, privatnim ključevima, ni fondovima u „hot“ ili „cold“ walletima, niti su mogli pristupiti ili prebaciti korisnička sredstva.
Reakcija Coinbasea
Coinbase je jedna od vodećih svjetskih kripto berzi i, zajedno sa svojih 100+ miliona korisnika, često je meta napadača koji koriste metode socijalnog inženjeringa.
Nažalost, kompromitovani podaci su dovoljni da prevaranti mogu uvjerljivo glumiti Coinbase agente podrške i pokušati prevariti korisnike da prenesu svoja sredstva.
Zbog toga je kompanija savjetovala korisnicima da budu posebno oprezni prema sumnjivim emailovima, porukama ili pozivima, te naglasila da legitimni zaposlenik Coinbasea nikada neće tražiti da podijelite svoju lozinku, 2FA kodove, novu seed frazu ili wallet adresu na koju da prebacite sredstva.
„Coinbase će dobrovoljno nadoknaditi sredstva maloprodajnim korisnicima koji su greškom poslali novac prevarantu kao direktan rezultat ovog incidenta, ukoliko se to desilo prije datuma objave ove informacije, nakon provjere činjenica“, navodi kompanija.
Pored osnivanja fonda za nagradu za informacije o počiniocima, Coinbase radi na praćenju i povratu ukradenih sredstava.
Takođe su uvedene dodatne mjere za otkrivanje prijetnji iznutra, pojačane sigurnosne kontrole i nadzor na svim lokacijama kompanije, te dodatne zaštite za korisničke račune „manje od 1% mjesečnih aktivnih korisnika“ čiji su podaci kompromitovani.
„Označeni računi sada zahtijevaju dodatnu verifikaciju identiteta pri većim isplatama i uključuju obavezne sigurnosne poruke o prevarama. Kako budemo nadgledali rizične transakcije, moguće su vremenske odgode“, navodi kompanija, dodajući da će podići krivične prijave protiv otpuštenih zaposlenika.
Izvor:Help Net Security