1 pontos por GN⁺ 2025-05-16 | 1 comentários | Compartilhar no WhatsApp
  • A Coinbase revelou um incidente em que equipes de suporte no exterior foram subornadas e dados de clientes foram vazados; os invasores pretendiam usar isso em ataques de engenharia social, e o custo de resposta pode chegar a US$ 400 milhões
  • Os atacantes afirmam ter obtido, em 11 de maio, informações de contas de alguns clientes e documentos internos, exigindo US$ 20 milhões para não divulgar o material
  • Os dados vazados incluíam nomes, informações de contato, dados bancários mascarados, imagens de documentos de identidade e saldos de conta, mas senhas, chaves privadas e fundos não foram expostos, e contas Coinbase Prime não foram afetadas
  • A Coinbase se recusou a pagar o resgate e está cooperando com as autoridades, demitiu os funcionários envolvidos, alertou clientes potencialmente impactados e reforçou a proteção de monitoramento contra fraudes
  • A empresa ofereceu uma recompensa de US$ 20 milhões por informações que levem à prisão e condenação dos responsáveis e disse que reembolsará clientes que enviaram fundos após serem enganados pelos atacantes

Roubo de dados causado por suborno de equipes de suporte no exterior

  • Segundo a Coinbase, cibercriminosos subornaram agentes de suporte no exterior para roubar dados de clientes e pretendiam usar essas informações em ataques de engenharia social
  • O custo de resposta a este incidente pode chegar a US$ 400 milhões
  • As ações da Coinbase caíram mais de 6% nas negociações da manhã

Exigência de US$ 20 milhões e a resposta da Coinbase

  • A Coinbase recebeu, em 11 de maio, um e-mail de alguém que alegava ter obtido informações de contas de alguns clientes e documentos internos
    • A empresa informou em um documento enviado à SEC que os documentos internos incluíam materiais relacionados a atendimento ao cliente e sistemas de gerenciamento de contas
  • Os atacantes exigiram US$ 20 milhões em troca de não divulgar essas informações
  • A Coinbase não pagará o resgate e está conduzindo a investigação do incidente com as autoridades
  • Em uma publicação no blog, a empresa disse que, em vez de aceitar a exigência, disponibilizará uma recompensa de US$ 20 milhões por informações que levem à prisão e condenação dos criminosos

Informações expostas e alcance do impacto

  • Os dados afetados incluíam informações sensíveis de clientes
    • nome, endereço, telefone e e-mail
    • números e identificadores de contas bancárias mascarados
    • os últimos 4 dígitos do Social Security
    • imagens de documentos de identidade emitidos pelo governo
    • saldo da conta
  • Senhas, chaves privadas e fundos não foram expostos
  • Contas Coinbase Prime não foram afetadas
  • Clientes que enviaram fundos após serem enganados pelos atacantes serão reembolsados

Abuso de acesso interno e detecção prévia

  • Os atacantes subornaram contratados no exterior e funcionários em funções de suporte para obter informações
  • Os envolvidos abusaram do acesso aos sistemas de suporte ao cliente para roubar dados de contas de alguns clientes
  • A Coinbase detectou a violação de forma independente nos meses anteriores e demitiu imediatamente os funcionários relacionados
  • A empresa alertou os clientes que poderiam ter tido seus dados acessados e reforçou a proteção de monitoramento contra fraudes

Fluxo recente dos negócios da Coinbase

  • A Coinbase opera a maior corretora de criptomoedas dos Estados Unidos
  • Na última semana, anunciou uma aquisição que deve ajudar em sua expansão global, e sua entrada no S&P 500, que passa a valer na próxima semana, também foi confirmada
  • Na teleconferência de resultados da semana passada, o CEO Brian Armstrong afirmou que a meta é transformar a Coinbase, nos próximos 5 a 10 anos, no aplicativo de serviços financeiros nº 1 do mundo

1 comentários

 
GN⁺ 2025-05-16
Comentários do Hacker News
  • Link para o texto original do registro na SEC: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • Eu, ou alguém que comprou os dados vazados, venho recebendo constantemente ligações de spear phishing
    É o golpe clássico de dizer que precisam confirmar uma transação possivelmente fraudulenta; falam um inglês perfeito com sotaque americano, soam muito amigáveis e até sabem o saldo da conta
    Felizmente percebi na primeira ligação que era golpe, e nas outras o recurso de filtragem de chamadas do Google bloqueou bem
    Se pudesse, queria encaminhar para o Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg

    • Se você já manteve ativos relevantes na Coinbase antes deste vazamento, spear phishing é a menor das suas preocupações
      A Coinbase acabou entregando não só nome e endereço, mas também saldos, histórico de transações e imagens de documentos oficiais; pessoas com grandes saldos em cripto vêm sendo atacadas na rua ou em casa, ou têm familiares sequestrados para extorsão
      Aqui, “grande” pode significar menos de 10 mil dólares
      Até agora, a melhor defesa era o sigilo: não falar publicamente sobre cripto de um jeito que pudesse ser ligado ao seu nome real, mas graças à Coinbase essa linha de defesa desapareceu
      Os criminosos agora podem saber quem já teve um saldo relevante na Coinbase, se essa pessoa liquidou esse saldo e por quanto, e até se moveu tokens para uma carteira própria fora da corretora
      Agora eles sabem quem vale a pena sequestrar e onde mora; além disso, se jogarem nome e endereço no Google, na maioria dos casos também encontram os nomes de familiares que podem virar alvo de chantagem ou sequestro
      A Coinbase provavelmente não será obrigada a indenizar todo o custo real dos danos, mas esse custo seria de um nível que quebraria a empresa
    • Troquei de Pixel para iPhone e fiquei chocado com a quantidade de ligações de spam
      Queria saber como os usuários de iPhone lidam com isso
    • Comecei a receber regularmente SMS com códigos de verificação de login da Coinbase, mesmo sem nunca ter tentado entrar
      A mesma coisa acontece com minha conta da Microsoft
      Normalmente só ignoro, mas parece que alguém está testando se consegue fazer login com meu e-mail
    • Fico me perguntando há quanto tempo esse aumento nessas ligações de spear phishing já vem acontecendo
      É difícil acreditar na explicação de que a Coinbase não viu isso como um problema sistêmico até ser contatada por “cibercriminosos”
    • Depois da IA, os golpes ficaram mais sofisticados, e os erros ortográficos comuns praticamente desapareceram
      Há pouco tempo, por curiosidade, eu estava olhando um e-mail de phishing quando encontrei um caractere Unicode estranho mal traduzido e logo percebi que era sinal de uma tradução ruim
      Não é perfeito, mas ficou bem feito
  • O problema é que os dados vazados parecem ser exatamente os dados usados na recuperação de conta
    Ou seja, se você perder o acesso à conta — por erro seu ou da Coinbase — o processo de recuperação talvez deixe de ser simples, e hackers podem tentar “recuperar” a conta usando as informações vazadas
    A Coinbase precisa de agências físicas. Precisa de um lugar para lidar pessoalmente com coisas como recuperação de conta, prender e processar quem tenta roubar dinheiro, e isso também cria uma barreira grande para ladrões que normalmente operam do exterior
    A única solução aqui é autenticação em dois fatores com hardware, como uma YubiKey

    • A indústria cripto continua redescobrindo rapidamente por que o sistema financeiro mundial existe
      O que você acabou de descrever é o que muitos defensores de cripto chamam de banco
    • Isso é simplesmente um banco
    • O que se faz se perder uma autenticação em dois fatores por hardware como a YubiKey? No fim das contas isso não te joga de volta para a etapa de recuperação de conta?
    • Se a pessoa já enviou dinheiro para uma carteira sob seu próprio controle, fazer com que ela assine uma mensagem com essa chave e a Coinbase valide isso com o endereço registrado pode ser um fator de recuperação confiável
      Afinal, cripto é só mais uma infraestrutura de chave pública
    • 99% dos dados usados na recuperação de conta vêm de registros públicos ou já apareceram em dezenas de grandes vazamentos de dados
  • Tentei entrar em contato com o suporte da Coinbase para confirmar se fui afetado
    Depois de perder tempo com um bot de IA, fui encaminhado para um humano, e esse funcionário não sabia do vazamento; fui eu quem o informou pela primeira vez

    • Eles enviaram e-mail para as contas afetadas
      Fonte: eu fui afetado
    • Você ouviu um roteiro do tipo: “Nossa, não sabíamos disso, e você foi o primeiro cliente a nos contar”
  • O motivo de a Coinbase ter armazenado muito mais informações sensíveis do que o necessário para verificação de identidade e autenticação foi o KYC
    Se a foto do seu passaporte foi roubada e criminosos ou funcionários mal-intencionados da Coinbase fizerem o que quiserem com isso, parte da culpa é do governo, que exigiu isso

    • Há motivos bastante válidos para o KYC
      O problema aqui não é a regulação do governo, mas empresas privadas lidando de forma negligente com dados de clientes
      Ser negligente é mais barato, e como as informações em risco não pertencem à empresa, e sim ao cliente, há pouco incentivo para protegê-las de verdade sem obrigação legal
    • Isso é uma fuga de responsabilidade fácil demais
      Precisam explicar honestamente por que todo atendente tinha de ter acesso permanente a documentos usados para verificação de identidade
      Esses documentos só são necessários para KYC
  • A Coinbase parece estar se esforçando bastante para se distanciar dos chamados “agentes de suporte maliciosos no exterior”
    Se eles eram funcionários ou contratados da Coinbase, então a empresa basicamente vendeu seus próprios dados para hackers, e os hackers depois pediram resgate
    Faz sentido indenizar clientes que foram enganados e fizeram transferências, porque a lógica jurídica de que as ações da Coinbase levaram às perdas parece bem clara
    O que mais me pergunto é se alguém que sentiu necessidade de se mudar, trocar de banco, mudar de e-mail ou contratar segurança particular poderia vencer uma ação cobrando da empresa parte ou todo esse custo

    • Essa interpretação é estranha
      Se um funcionário da empresa violou a política e, provavelmente de forma ilegal, extraiu dados internos da empresa e os entregou a hackers em troca de dinheiro, fica difícil dizer que “a nossa empresa vendeu os dados”
  • Post no blog da Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
    A empresa disse que vai ressarcir clientes que foram enganados por ataques de engenharia social e acabaram enviando fundos aos invasores, e que já enviou e-mails a partir de no-reply@info.coinbase.com para os clientes cujos dados foram acessados
    Disse também que todas as notificações enviadas aos clientes afetados foram disparadas em 15/5 às 7:20 da manhã no horário do Leste dos EUA

    • Foi uma decisão curiosa usar no-reply
      Entendo que é difícil operar uma empresa como a Coinbase, mas é uma escolha estranha, porque centralização e suporte ao cliente, que são seus maiores pontos fortes, também são justamente os elementos que tornam esse tipo de engenharia social possível
    • Disseram que “senhas, chaves privadas e fundos não foram expostos, e contas Coinbase Prime não foram afetadas”, mas fico me perguntando por que as contas Coinbase Prime não entraram no vazamento
      Não sei se existe uma camada extra de proteção de dados atrás da barreira paga do Coinbase Prime, ou se elas foram evitadas de propósito por provavelmente pertencerem a usuários mais experientes
  • Pela descrição do vazamento, os invasores parecem ter pago vários contratados ou funcionários que faziam suporte fora dos EUA para coletar informações em sistemas internos da Coinbase aos quais tinham acesso por trabalho
    Pelos dados expostos, a origem provavelmente foi o suporte ao cliente nas Filipinas
    Como os salários costumam ser abaixo de US$ 1.000 por mês, e cargos iniciais podem pagar menos de US$ 500, um suborno de US$ 5.000 pode equivaler a mais de um ano de renda líquida
    Considerando quanto dá para lucrar com esse conjunto de dados, é um investimento pequeno
    Os itens vazados incluem nome, endereço, telefone, e-mail, os últimos 4 dígitos mascarados do número do Social Security, números de contas bancárias mascarados e alguns identificadores bancários, imagens de documentos oficiais como carteira de motorista e passaporte, snapshots de saldo e histórico de transações, além de alguns documentos internos, materiais de treinamento e comunicações visíveis ao pessoal de suporte
    Esse é o tipo de dado com que todo atacante sonha, e só os endereços de e-mail e os saldos das contas já são um pesadelo
    Em vez de extorquir a empresa, eles podem extorquir cada usuário diretamente. Algo como: “envie 50% do seu BTC e não vou publicar todas as suas informações na internet”
    Parece uma situação parecida com o vazamento de dados da Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • Extorquir usuários individualmente talvez seja a menor das preocupações
      Na França, houve pelo menos 5 casos de sequestro e tentativa de sequestro ligados a investidores de criptomoedas desde o começo deste ano
    • É ainda pior
      Empresas americanas terceirizam suporte ao cliente para as Filipinas pagando de US$ 3 a US$ 6 por hora
      As prestadoras de serviço têm rotatividade altíssima, e em algumas empresas o tempo médio de permanência dos funcionários é de cerca de 6 meses
      Não existe motivo algum para lealdade
    • Quase não há regulação governamental sobre IA, não há punição por vazamentos de dados, e não existem mecanismos para proteger as pessoas contra abusos em larga escala
      Na verdade, estamos indo na direção oposta
      Acho que choques assim vão mergulhar os EUA no caos em breve
    • O ponto central não é só o baixo salário nas Filipinas, e sim que todo mundo tem seu preço
      Nos EUA o preço teria sido muito mais alto, mas o ganho obtido com o ataque provavelmente também teria sido ajustado para cima
  • Independentemente do que se pense da Coinbase, esta resposta parece bem razoável
    Em vez de pagar o resgate de US$ 20 milhões, a empresa disse que vai oferecer uma recompensa de US$ 20 milhões por informações que levem à prisão e condenação dos responsáveis

    • Não é nada razoável
      O problema é que o comunicado foi escrito de um jeito que faz as pessoas elogiarem uma situação em que o correto seria pedir desculpas por ter exposto dados pessoais, ainda mais com o título “Protecting Our Customers - Standing Up to Extortionists”
      Isso realmente me irrita
      Além disso, o assunto do e-mail que recebi era “important notice”, e o fato de que minha conta pessoal tinha sido afetada só aparecia na terceira frase de um parágrafo longo
      Nada disso está ok, e a empresa não parece estar tratando o caso com a seriedade devida
    • É a mesma tática do filme Ransom, de 1996: https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • Gostei
      Numa hora dessas, era uma boa oportunidade para sair um pouco do linguajar corporativo e dizer algo como “vão se foder, seus hackers do caralho!”
      Até quem mora no Bible Belt respeita um palavrão bem colocado na hora certa
    • Do ponto de vista do cliente, talvez fosse melhor pagar o resgate e recuperar as informações de identificação pessoal
      Tudo bem criar também um programa de recompensa, mas se fossem meus dados, eu me importaria mais em limitar a extensão do vazamento do que em ver a Coinbase brincando de colocar uma recompensa por vingança
  • É realmente lamentável que a Coinbase tenha sido obrigada a ter esse tipo de informação por causa das regulações de KYC
    Precisamos estabelecer uma norma social forte de não compartilhar informações de identificação pessoal sem uma justificativa legítima
    Isso não é só um risco de furto individual, mas também um risco à segurança nacional
    Como a Coinbase não faz contribuições para minha conta do Social Security, ela não deveria ter meu número do Social Security; e como não vai me visitar em casa, não deveria ter meu endereço
    Historicamente, regulações de KYC eram amplamente comuns em países comunistas, mas na maior parte das democracias eram difíceis de imaginar antes do 11 de Setembro
    O 11 de Setembro deu às agências de inteligência a oportunidade perfeita para transformar em lei a lista de desejos que elas queriam, e infelizmente isso ajuda tanto agências de inteligência domésticas quanto, talvez até mais, agências estrangeiras
    Dá para ver aqui quando isso foi introduzido em vários países: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • Gostaria de ouvir se essa posição continuaria a mesma depois de sua conta na Coinbase ser comprometida e você começar a procurar algum tipo de reparação