- A Coinbase revelou um incidente em que equipes de suporte no exterior foram subornadas e dados de clientes foram vazados; os invasores pretendiam usar isso em ataques de engenharia social, e o custo de resposta pode chegar a US$ 400 milhões
- Os atacantes afirmam ter obtido, em 11 de maio, informações de contas de alguns clientes e documentos internos, exigindo US$ 20 milhões para não divulgar o material
- Os dados vazados incluíam nomes, informações de contato, dados bancários mascarados, imagens de documentos de identidade e saldos de conta, mas senhas, chaves privadas e fundos não foram expostos, e contas Coinbase Prime não foram afetadas
- A Coinbase se recusou a pagar o resgate e está cooperando com as autoridades, demitiu os funcionários envolvidos, alertou clientes potencialmente impactados e reforçou a proteção de monitoramento contra fraudes
- A empresa ofereceu uma recompensa de US$ 20 milhões por informações que levem à prisão e condenação dos responsáveis e disse que reembolsará clientes que enviaram fundos após serem enganados pelos atacantes
Roubo de dados causado por suborno de equipes de suporte no exterior
- Segundo a Coinbase, cibercriminosos subornaram agentes de suporte no exterior para roubar dados de clientes e pretendiam usar essas informações em ataques de engenharia social
- O custo de resposta a este incidente pode chegar a US$ 400 milhões
- As ações da Coinbase caíram mais de 6% nas negociações da manhã
Exigência de US$ 20 milhões e a resposta da Coinbase
- A Coinbase recebeu, em 11 de maio, um e-mail de alguém que alegava ter obtido informações de contas de alguns clientes e documentos internos
- A empresa informou em um documento enviado à SEC que os documentos internos incluíam materiais relacionados a atendimento ao cliente e sistemas de gerenciamento de contas
- Os atacantes exigiram US$ 20 milhões em troca de não divulgar essas informações
- A Coinbase não pagará o resgate e está conduzindo a investigação do incidente com as autoridades
- Em uma publicação no blog, a empresa disse que, em vez de aceitar a exigência, disponibilizará uma recompensa de US$ 20 milhões por informações que levem à prisão e condenação dos criminosos
Informações expostas e alcance do impacto
- Os dados afetados incluíam informações sensíveis de clientes
- nome, endereço, telefone e e-mail
- números e identificadores de contas bancárias mascarados
- os últimos 4 dígitos do Social Security
- imagens de documentos de identidade emitidos pelo governo
- saldo da conta
- Senhas, chaves privadas e fundos não foram expostos
- Contas Coinbase Prime não foram afetadas
- Clientes que enviaram fundos após serem enganados pelos atacantes serão reembolsados
Abuso de acesso interno e detecção prévia
- Os atacantes subornaram contratados no exterior e funcionários em funções de suporte para obter informações
- Os envolvidos abusaram do acesso aos sistemas de suporte ao cliente para roubar dados de contas de alguns clientes
- A Coinbase detectou a violação de forma independente nos meses anteriores e demitiu imediatamente os funcionários relacionados
- A empresa alertou os clientes que poderiam ter tido seus dados acessados e reforçou a proteção de monitoramento contra fraudes
Fluxo recente dos negócios da Coinbase
- A Coinbase opera a maior corretora de criptomoedas dos Estados Unidos
- Na última semana, anunciou uma aquisição que deve ajudar em sua expansão global, e sua entrada no S&P 500, que passa a valer na próxima semana, também foi confirmada
- Na teleconferência de resultados da semana passada, o CEO Brian Armstrong afirmou que a meta é transformar a Coinbase, nos próximos 5 a 10 anos, no aplicativo de serviços financeiros nº 1 do mundo
1 comentários
Comentários do Hacker News
Link para o texto original do registro na SEC: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
Eu, ou alguém que comprou os dados vazados, venho recebendo constantemente ligações de spear phishing
É o golpe clássico de dizer que precisam confirmar uma transação possivelmente fraudulenta; falam um inglês perfeito com sotaque americano, soam muito amigáveis e até sabem o saldo da conta
Felizmente percebi na primeira ligação que era golpe, e nas outras o recurso de filtragem de chamadas do Google bloqueou bem
Se pudesse, queria encaminhar para o Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg
A Coinbase acabou entregando não só nome e endereço, mas também saldos, histórico de transações e imagens de documentos oficiais; pessoas com grandes saldos em cripto vêm sendo atacadas na rua ou em casa, ou têm familiares sequestrados para extorsão
Aqui, “grande” pode significar menos de 10 mil dólares
Até agora, a melhor defesa era o sigilo: não falar publicamente sobre cripto de um jeito que pudesse ser ligado ao seu nome real, mas graças à Coinbase essa linha de defesa desapareceu
Os criminosos agora podem saber quem já teve um saldo relevante na Coinbase, se essa pessoa liquidou esse saldo e por quanto, e até se moveu tokens para uma carteira própria fora da corretora
Agora eles sabem quem vale a pena sequestrar e onde mora; além disso, se jogarem nome e endereço no Google, na maioria dos casos também encontram os nomes de familiares que podem virar alvo de chantagem ou sequestro
A Coinbase provavelmente não será obrigada a indenizar todo o custo real dos danos, mas esse custo seria de um nível que quebraria a empresa
Queria saber como os usuários de iPhone lidam com isso
A mesma coisa acontece com minha conta da Microsoft
Normalmente só ignoro, mas parece que alguém está testando se consegue fazer login com meu e-mail
É difícil acreditar na explicação de que a Coinbase não viu isso como um problema sistêmico até ser contatada por “cibercriminosos”
Há pouco tempo, por curiosidade, eu estava olhando um e-mail de phishing quando encontrei um caractere Unicode estranho mal traduzido e logo percebi que era sinal de uma tradução ruim
Não é perfeito, mas ficou bem feito
O problema é que os dados vazados parecem ser exatamente os dados usados na recuperação de conta
Ou seja, se você perder o acesso à conta — por erro seu ou da Coinbase — o processo de recuperação talvez deixe de ser simples, e hackers podem tentar “recuperar” a conta usando as informações vazadas
A Coinbase precisa de agências físicas. Precisa de um lugar para lidar pessoalmente com coisas como recuperação de conta, prender e processar quem tenta roubar dinheiro, e isso também cria uma barreira grande para ladrões que normalmente operam do exterior
A única solução aqui é autenticação em dois fatores com hardware, como uma YubiKey
O que você acabou de descrever é o que muitos defensores de cripto chamam de banco
Afinal, cripto é só mais uma infraestrutura de chave pública
Tentei entrar em contato com o suporte da Coinbase para confirmar se fui afetado
Depois de perder tempo com um bot de IA, fui encaminhado para um humano, e esse funcionário não sabia do vazamento; fui eu quem o informou pela primeira vez
Fonte: eu fui afetado
O motivo de a Coinbase ter armazenado muito mais informações sensíveis do que o necessário para verificação de identidade e autenticação foi o KYC
Se a foto do seu passaporte foi roubada e criminosos ou funcionários mal-intencionados da Coinbase fizerem o que quiserem com isso, parte da culpa é do governo, que exigiu isso
O problema aqui não é a regulação do governo, mas empresas privadas lidando de forma negligente com dados de clientes
Ser negligente é mais barato, e como as informações em risco não pertencem à empresa, e sim ao cliente, há pouco incentivo para protegê-las de verdade sem obrigação legal
Precisam explicar honestamente por que todo atendente tinha de ter acesso permanente a documentos usados para verificação de identidade
Esses documentos só são necessários para KYC
A Coinbase parece estar se esforçando bastante para se distanciar dos chamados “agentes de suporte maliciosos no exterior”
Se eles eram funcionários ou contratados da Coinbase, então a empresa basicamente vendeu seus próprios dados para hackers, e os hackers depois pediram resgate
Faz sentido indenizar clientes que foram enganados e fizeram transferências, porque a lógica jurídica de que as ações da Coinbase levaram às perdas parece bem clara
O que mais me pergunto é se alguém que sentiu necessidade de se mudar, trocar de banco, mudar de e-mail ou contratar segurança particular poderia vencer uma ação cobrando da empresa parte ou todo esse custo
Se um funcionário da empresa violou a política e, provavelmente de forma ilegal, extraiu dados internos da empresa e os entregou a hackers em troca de dinheiro, fica difícil dizer que “a nossa empresa vendeu os dados”
Post no blog da Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
A empresa disse que vai ressarcir clientes que foram enganados por ataques de engenharia social e acabaram enviando fundos aos invasores, e que já enviou e-mails a partir de no-reply@info.coinbase.com para os clientes cujos dados foram acessados
Disse também que todas as notificações enviadas aos clientes afetados foram disparadas em 15/5 às 7:20 da manhã no horário do Leste dos EUA
Entendo que é difícil operar uma empresa como a Coinbase, mas é uma escolha estranha, porque centralização e suporte ao cliente, que são seus maiores pontos fortes, também são justamente os elementos que tornam esse tipo de engenharia social possível
Não sei se existe uma camada extra de proteção de dados atrás da barreira paga do Coinbase Prime, ou se elas foram evitadas de propósito por provavelmente pertencerem a usuários mais experientes
Pela descrição do vazamento, os invasores parecem ter pago vários contratados ou funcionários que faziam suporte fora dos EUA para coletar informações em sistemas internos da Coinbase aos quais tinham acesso por trabalho
Pelos dados expostos, a origem provavelmente foi o suporte ao cliente nas Filipinas
Como os salários costumam ser abaixo de US$ 1.000 por mês, e cargos iniciais podem pagar menos de US$ 500, um suborno de US$ 5.000 pode equivaler a mais de um ano de renda líquida
Considerando quanto dá para lucrar com esse conjunto de dados, é um investimento pequeno
Os itens vazados incluem nome, endereço, telefone, e-mail, os últimos 4 dígitos mascarados do número do Social Security, números de contas bancárias mascarados e alguns identificadores bancários, imagens de documentos oficiais como carteira de motorista e passaporte, snapshots de saldo e histórico de transações, além de alguns documentos internos, materiais de treinamento e comunicações visíveis ao pessoal de suporte
Esse é o tipo de dado com que todo atacante sonha, e só os endereços de e-mail e os saldos das contas já são um pesadelo
Em vez de extorquir a empresa, eles podem extorquir cada usuário diretamente. Algo como: “envie 50% do seu BTC e não vou publicar todas as suas informações na internet”
Parece uma situação parecida com o vazamento de dados da Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach
Na França, houve pelo menos 5 casos de sequestro e tentativa de sequestro ligados a investidores de criptomoedas desde o começo deste ano
Empresas americanas terceirizam suporte ao cliente para as Filipinas pagando de US$ 3 a US$ 6 por hora
As prestadoras de serviço têm rotatividade altíssima, e em algumas empresas o tempo médio de permanência dos funcionários é de cerca de 6 meses
Não existe motivo algum para lealdade
Na verdade, estamos indo na direção oposta
Acho que choques assim vão mergulhar os EUA no caos em breve
Nos EUA o preço teria sido muito mais alto, mas o ganho obtido com o ataque provavelmente também teria sido ajustado para cima
Independentemente do que se pense da Coinbase, esta resposta parece bem razoável
Em vez de pagar o resgate de US$ 20 milhões, a empresa disse que vai oferecer uma recompensa de US$ 20 milhões por informações que levem à prisão e condenação dos responsáveis
O problema é que o comunicado foi escrito de um jeito que faz as pessoas elogiarem uma situação em que o correto seria pedir desculpas por ter exposto dados pessoais, ainda mais com o título “Protecting Our Customers - Standing Up to Extortionists”
Isso realmente me irrita
Além disso, o assunto do e-mail que recebi era “important notice”, e o fato de que minha conta pessoal tinha sido afetada só aparecia na terceira frase de um parágrafo longo
Nada disso está ok, e a empresa não parece estar tratando o caso com a seriedade devida
Numa hora dessas, era uma boa oportunidade para sair um pouco do linguajar corporativo e dizer algo como “vão se foder, seus hackers do caralho!”
Até quem mora no Bible Belt respeita um palavrão bem colocado na hora certa
Tudo bem criar também um programa de recompensa, mas se fossem meus dados, eu me importaria mais em limitar a extensão do vazamento do que em ver a Coinbase brincando de colocar uma recompensa por vingança
É realmente lamentável que a Coinbase tenha sido obrigada a ter esse tipo de informação por causa das regulações de KYC
Precisamos estabelecer uma norma social forte de não compartilhar informações de identificação pessoal sem uma justificativa legítima
Isso não é só um risco de furto individual, mas também um risco à segurança nacional
Como a Coinbase não faz contribuições para minha conta do Social Security, ela não deveria ter meu número do Social Security; e como não vai me visitar em casa, não deveria ter meu endereço
Historicamente, regulações de KYC eram amplamente comuns em países comunistas, mas na maior parte das democracias eram difíceis de imaginar antes do 11 de Setembro
O 11 de Setembro deu às agências de inteligência a oportunidade perfeita para transformar em lei a lista de desejos que elas queriam, e infelizmente isso ajuda tanto agências de inteligência domésticas quanto, talvez até mais, agências estrangeiras
Dá para ver aqui quando isso foi introduzido em vários países: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...