Coinbase diz que hackers subornaram funcionários para roubar dados de clientes e exigem resgate de US$ 20 milhões

 (cnbc.com)
1 pontos por GN⁺ 2025-05-16 | 1 comentários | Compartilhar no WhatsApp
  • A Coinbase foi atingida por um incidente em que um grupo de hackers subornou funcionários e vazou dados de clientes
  • Os hackers roubaram informações de clientes e depois exigiram um resgate de US$ 20 milhões
  • Foi confirmada uma ameaça de segurança sem precedentes, com funcionários internos colaborando com os hackers
  • O caso reacende a importância da gestão de riscos internos no setor de exchanges e fintechs
  • Estão em andamento medidas emergenciais de resposta e de proteção aos clientes para conter a expansão dos danos

Leituras relacionadas

1 comentários

 
GN⁺ 2025-05-16
Comentários do Hacker News

  • Tenho recebido ligações de spear phishing sofisticadas ultimamente. Eles usam o golpe clássico de dizer que eu preciso confirmar uma transação suspeita. Falam inglês americano fluentemente, com voz muito amigável, e até sabem o saldo da minha conta. Na primeira ligação percebi na hora que era fraude, e desde então tenho ficado seguro graças ao recurso de filtragem de chamadas do Google. Dá vontade de encaminhar essas ligações para o Kitboga. Primeiro tentaram aplicar golpes em clientes da Coinbase, e no fim acabaram tentando extorquir a própria Coinbase

    • Se você já teve uma quantidade razoável de ativos na Coinbase, spear phishing é a menor das suas preocupações. A Coinbase vazou não só nome e endereço, mas também saldos, histórico de transações e até imagens de documentos de identidade. Muita gente acaba sendo atacada na rua ou em casa, ou até tem familiares sequestrados. Menos de 10 mil dólares já conta como um patrimônio “significativo”. Até agora, a melhor defesa era o sigilo, mas graças à Coinbase isso também acabou. Gente mal-intencionada pode descobrir quem já teve uma quantia grande na Coinbase ou sacou valores altos, achar informações sobre a família com facilidade e usar isso para extorsão. Mesmo que a Coinbase tivesse obrigação de compensar todo o dano causado por isso, o valor provavelmente quebraria a empresa

    • Troquei um Pixel por um iPhone e fiquei surpreso com a quantidade de ligações de spam. Queria saber como o pessoal lida com isso no iPhone

    • Queria saber há quanto tempo essas ligações de spear phishing vêm aumentando. Não acredito na alegação da Coinbase de que esse ataque é um problema sistêmico

    • Estou recebendo sem parar SMS com código de autenticação de login da Coinbase sem ter tentado entrar. A mesma coisa acontece com a minha conta Microsoft. Imagino que alguém esteja testando se meu e-mail pode ser usado para login

    • Fico curioso sobre a origem dos números de telefone. Recebo muitas ligações de phishing, mas nunca atendo números desconhecidos. Graças ao Google Call Screen, eles desligam toda vez. Então tenho certeza de que é golpe

    • Graças à IA, os golpes estão ficando mais sofisticados. Até os erros de ortografia estão sumindo. Recentemente fui olhar um e-mail de phishing por curiosidade e encontrei uma parte em que caracteres Unicode estranhos tinham sido traduzidos errado. Ainda não é perfeito, mas está ficando cada vez mais traiçoeiro

    • Recebi umas três ou quatro só na semana passada

    • Será que esse sotaque perfeito é graças a machine learning?

    • O fato de eles falarem inglês perfeito e até saberem o saldo da conta me faz imaginar se não seriam ex-funcionários da Coinbase

    • Isso nunca vai parar, e dá uma sensação amarga perceber que o elemento criminoso agora virou capitalismo legalizado

  • O problema é que os dados vazados parecem ser os mesmos usados na recuperação de conta. Ou seja, se você perder acesso à conta por erro próprio ou por falha da Coinbase, o processo de recuperação deixa de ser simples. Também existe a possibilidade de hackers tentarem recuperar contas com as informações vazadas. A solução, na prática, seria ter agências físicas que deem suporte à recuperação de conta. Presencialmente seria possível prender e processar criminosos. Isso criaria uma grande barreira para criminosos no exterior. A solução mais confiável continua sendo autenticação em dois fatores com hardware, como uma Yubikey

    • O setor de cripto está reaprendendo rapidamente por que o sistema financeiro tradicional existe. Esse escritório físico de que você fala é o que muitos defensores de cripto chamam de “banco”

    • Se houver histórico de depósitos e saques diretamente da própria carteira, uma forma confiável de recuperação seria enviar para a Coinbase uma mensagem assinada com a chave daquele endereço registrado. No fim, a essência da cripto é só outra forma de PKI

    • Se existirem agências físicas, também aparece a realidade de ter que viajar para outra cidade quando o acesso à conta for bloqueado sem culpa do usuário, por exemplo porque o sistema detectou risco em excesso. Nesse caso, quem ficar bloqueado vai reclamar bastante

    • Acho que alguém tecnicamente capaz o bastante para usar Yubikey simplesmente compraria uma hardware wallet e faria a autocustódia

    • Se a Coinbase precisa de agências físicas, então isso é só um banco

    • Mesmo que a única solução seja 2FA com hardware, como Yubikey, se você perder a chave volta tudo para a etapa de recuperação de conta

    • Dizer que a Coinbase precisa de agências físicas é ironia?

  • Entrei em contato com o suporte da Coinbase para perguntar se eu tinha sido afetado por esse hack. Depois de passar pelo chatbot de IA e chegar a um atendente humano, eles não sabiam nem da existência do incidente. Fui eu quem informou pela primeira vez

    • Foram enviados e-mails para as contas afetadas. Eu fui um dos usuários afetados

    • Também pode ser que o primeiro cliente só tenha pegado um atendente preguiçoso

    • Já passei pela experiência de o atendente só ler o roteiro: “eu não sabia, você é a primeira pessoa a me contar isso”

  • Dá para perceber o esforço da Coinbase para se distanciar dos “funcionários de suporte problemáticos” no exterior. Se eles eram de fato funcionários ou contratados da Coinbase, então a empresa na prática vendeu os dados diretamente aos hackers. Reembolsar clientes que perderam dinheiro em golpes é o mínimo. Mas se alguém teve que se mudar de casa, trocar de banco, trocar de e-mail ou até contratar segurança, fico curioso se esses custos também poderiam ser cobrados da empresa

    • Se um funcionário violou a política da empresa ou roubou dados confidenciais ilegalmente para repassá-los a hackers, é forçar a barra dizer que “a empresa vendeu os dados”

  • Compartilho o que foi mencionado no blog oficial da Coinbase: clientes que transferiram fundos após serem enganados pelo ataque serão reembolsados, e clientes com informações expostas já receberam e-mail em 15 de maio às 7h20 no horário do leste dos EUA

    • A escolha de um e-mail no-reply é marcante. A grande vantagem da Coinbase é a centralização e o suporte ao cliente, mas isso mostra como exatamente esse ponto também permite ataques de engenharia social

    • Fiquei curioso com o fato de contas Coinbase Prime não estarem incluídas no escopo do vazamento. Será que as contas Prime têm proteção especial, ou os golpistas simplesmente tinham menos interesse nelas?

  • Por causa das leis de KYC, a Coinbase é obrigada a armazenar muito mais informação sensível do que o necessário apenas para autenticar a identidade. O roubo até de fotos de documentos é culpa do governo, e isso ainda cria o problema de criminosos e funcionários internos com acesso a informações cujo uso futuro é imprevisível

    • O KYC tem razões suficientes para existir por si só. O problema não é a regulação estatal, e sim empresas privadas que tratam dados de clientes com descuido. Quanto mais relaxado o controle, menor o custo, e como os dados não são deles, falta incentivo para proteger. Sem obrigação, eles não vão fazer isso

    • Dizer que é por causa do KYC que precisam manter essas informações sensíveis o tempo todo é desculpa. É preciso ser honesto sobre por que todos os atendentes podem acessar permanentemente documentos de identidade

  • Acho que a resposta da Coinbase foi até bem boa: não pagar de forma alguma o resgate de 20 milhões de dólares e, em vez disso, criar um fundo de recompensa de 20 milhões para informações que levem à captura dos criminosos

    • É a mesma tática usada no filme 'Ransom', de 1996

    • Do ponto de vista do cliente, pagar o resgate para limitar a exposição dos dados é mais importante. Criar um fundo de recompensa também é bom, mas a proteção imediata dos dados é mais urgente

    • Gosto desse tipo de resposta. Numa hora dessas, em vez de linguagem corporativa engessada, muita gente apoiaria uma mensagem mais forte tipo “ei, hackers filhos da puta, vão se ferrar!”

  • Só disseram que recrutaram “funcionários problemáticos de suporte no exterior”. Não explicaram em que país nem por que foram contratados em primeiro lugar. É estranho que uma empresa que já fatura bilhões de dólares ainda não consiga contratar e verificar pessoal de forma adequada

  • Sobre a criação do “fundo de recompensa de 20 milhões de dólares”, normalmente critico o setor de cripto, mas desta vez tenho que elogiar. Espero mesmo que paguem a recompensa

    • Piada sobre talvez pagarem essa recompensa em criptomoeda

  • Isso dá uma sensação de déjà vu. Se a Coinbase só percebeu que algo estava errado quando os hackers pediram dinheiro, dá para suspeitar se eles sequer mantinham logs de acesso dos funcionários. Fico curioso se existe ao menos um mecanismo interno básico de rastreamento de responsabilidade. Seria ótimo ter um sistema simples de auditoria de acesso para bloquear na hora sinais anormais ou funcionários mal-intencionados. Quero ver como vão ficar os pacotes de saída dos executivos depois desse caso

    • Pelo blog oficial, foram funcionários de suporte ao cliente que já tinham acesso a dados sensíveis e os repassaram aos atacantes em troca de dinheiro. Os hackers não acessaram as contas diretamente

    • Já tive a experiência de precisar adicionar várias camadas de segurança a painéis administrativos internos ao contratar funcionários fora dos EUA, como registro de logs, monitoramento e aprovação de administradores. No setor de cartões de crédito, os padrões de proteção de dados são extremamente rigorosos por causa do PCI-DSS. O setor de cripto parece ter uma consciência de segurança relativamente menor por falta desse tipo de regulação

    • No mínimo, é preciso ter registro de logs e auditoria posterior. Também não é absurdo exigir que atendentes peçam informações de verificação que o cliente não consiga descobrir facilmente. Nos casos em que o próprio cliente fica bloqueado, isso poderia ser tratado por um grupo bem pequeno de funcionários com controles mais rígidos. Mesmo a estatística de que menos de 1% dos usuários mensais foi acessado ainda me parece um número bastante grande

  • Se alguém teve que mudar de endereço ou reforçar a própria segurança por causa do vazamento, os danos vão muito além de fraude financeira direta