Coinbase раскрыла, что в результате инцидента, выявленного 11 мая, были скомпрометированы персональные данные клиентов биржи. Ущерб от атаки может достичь $400 млн.
При этом сам взлом осуществлялся не через технические уязвимости, а через подкуп подрядчиков из зарубежных колл-центров.
Что произошло
Согласно документу, поданному 14 мая в Комиссию по ценным бумагам и биржам США (SEC), инцидент был инициирован группой неизвестных лиц, которые 11 мая направили Coinbase сообщение с требованием выкупа. В письме утверждалось, что злоумышленники получили внутреннюю документацию компании, а также данные клиентских аккаунтов.
Расследование показало, что информация действительно утекла — к ней имели доступ подрядчики и сотрудники поддержки, работающие вне США. Ранее Coinbase уже фиксировала подозрительную активность этих сотрудников, уволила их и усилила меры безопасности, но, как выяснилось, все действия были частью одной продуманной атаки.
Какие данные утекли и что осталось в безопасности
Coinbase подтвердила, что злоумышленникам стали доступны следующие данные клиентов:
- ФИО, адрес, номер телефона, email.
- Последние четыре цифры номера соцстраховки (SSN).
- Частично замаскированные номера банковских счетов.
- Фото удостоверений личности (водительских прав и паспортов).
- Информация по счетам: балансы и история транзакций.
- Внутренние документы и переписка, доступная агентам поддержки.
При этом ни логины, ни пароли, ни коды двухфакторной аутентификации не были скомпрометированы. Также остались в безопасности:
- Приватные ключи.
- Горячие и холодные кошельки Coinbase и клиентов.
- Средства пользователей.
- Аккаунты Prime-клиентов.
Финансовые последствия
Coinbase оценил возможные расходы на ликвидацию последствий от инцидента в пределах от $180 млн до $400 млн. Вместо уплаты $20 млн выкупа, который потребовали злоумышленники, компания объявила награду в $20 млн за информацию, которая поможет установить и арестовать виновных.
Дальнейшие меры
Coinbase пообещала:
- Возместить убытки клиентам, которые стали жертвами социальной инженерии и перевели средства мошенникам.
- Ужесточить проверки для операций с крупными суммами.
- Добавить обязательные предупреждения о возможных мошенничествах.
- Запустить центр клиентской поддержки в США и усилить внутренний контроль.
- Расширить инструменты анализа подозрительных действий и симуляции атак.
- Информировать пользователей по мере поступления новых данных.
Как защититься
Компания напомнила, что никогда не запрашивает у клиентов пароли, коды 2FA или сид-фразы. Ни при каких обстоятельствах сотрудники не просят перевести активы на новые адреса или «безопасные» кошельки.
Coinbase рекомендует:
- Включить функцию allow-listing кошельков.
- Использовать аппаратные ключи для двухфакторной аутентификации.
- Мгновенно блокировать аккаунт при подозрении на мошенничество.
- Игнорировать любые подозрительные звонки и письма.
Все пострадавшие пользователи уже получили email-уведомление с подробными инструкциями с адреса no-reply@info.coinbase.com 15 мая в 07:20 по восточному времени.
Контекст
Инцидент произошел на фоне общего роста угроз в криптоиндустрии, где все чаще используются методы социальной инженерии. Coinbase, как крупнейшая публичная криптобиржа в США, ранее активно отчитывалась об улучшении своих систем безопасности. Однако инцидент подтверждает уязвимость глобальных поддерживающих инфраструктур, особенно при привлечении удалённых подрядчиков.
Coinbase заявила, что расследование продолжается и финансовые последствия могут быть как выше, так и ниже первоначальных оценок.
Ранее криптодетектив (ZachXBT) отмечал, что Coinbase особенно уязвима к атакам подобного рода — по его словам, ни одна другая централизованная биржа (CEX) не сталкивается с таким числом инцидентов, связанных с социальной инженерией и инсайдерским доступом.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.