Coinbase divulga registros que indicam meses de ataque antes de saber oficialmente da violação

 (jonathanclark.com)
1 pontos por GN⁺ 2025-11-17 | Ainda não há comentários. | Compartilhar no WhatsApp
  • Em janeiro de 2025, surgiu um caso em que foi revelado que o atacante conhecia dados pessoais detalhados, como número de seguridade social e saldo em Bitcoin
  • A vítima enviou imediatamente à equipe de segurança da Coinbase um relatório técnico detalhado, mas por 4 meses não houve resposta às perguntas centrais
  • Só em maio a Coinbase reconheceu o vazamento interno de dados por funcionários da terceirizada estrangeira (TaskUs) e anunciou impacto em cerca de 1% dos clientes e prejuízo de até US$ 400 milhões
  • A análise dos cabeçalhos de e-mail confirmou uma estrutura de ataque em várias etapas, incluindo envio forjado via Amazon SES, uso de número Google Voice e ataque de bomba de SMS
  • O intervalo de 4 meses entre o relato e a divulgação expõe falhas no monitoramento de segurança e ausência de resposta, destacando o problema de confiança em exchanges centralizadas

Visão geral do caso

  • Em 7 de janeiro de 2025, a vítima recebeu um e-mail com o título “2.93 ETH withdrawal request” e depois uma ligação se passando pela Coinbase
    • O autor da ligação conhecia dados não públicos, como número de seguridade social, saldo em Bitcoin e informações da carteira de motorista
    • A vítima reportou isso imediatamente à equipe de segurança da Coinbase e enviou material detalhado de análise, incluindo cabeçalhos de e-mail, gravação de voz e informações sobre o atacante
  • Brett Farmer, responsável por Trust & Safety na Coinbase, respondeu que era “um relatório muito sólido”, mas depois deixou de responder a todos os contatos de acompanhamento

Divergência com o anúncio oficial da Coinbase

  • A Coinbase anunciou que só percebeu a violação em 11 de maio de 2025 e a divulgou em 15 de maio
    • Os atacantes subornaram funcionários da TaskUs na Índia para roubar dados de clientes
    • Itens vazados: nome, endereço, telefone, e-mail, 4 dígitos finais do número de seguridade social, imagem de documento oficial, saldo de conta e histórico de transações
    • O impacto foi estimado em menos de 1% dos clientes e perdas entre US$ 180 milhões e US$ 400 milhões
  • Porém, a vítima já havia apresentado em janeiro evidências de que os atacantes tinham acesso a dados internos, e a Coinbase ignorou isso

Estrutura detalhada do ataque

  • Falsificação de e-mail:
    • O endereço do remetente era commerce@coinbase.com, mas o servidor real de envio era Amazon SES(a32-86.smtp-out.amazonses.com)
    • As assinaturas DKIM de coinbase.com e amazonses.com foram ambas aprovadas, simulando legitimidade
    • O Return-Path estava configurado como amazonses.com, indicando possibilidade de falsificação
  • Golpe por telefone:
    • O número de origem 1-805-885-0141 foi identificado como um número Google Voice
    • O atacante tentou induzir a vítima a “mover os ativos para uma cold wallet”
  • Ataque de bomba de SMS:
    • Logo após a ligação, chegaram centenas de mensagens de spam
    • Isso foi analisado como uma técnica de geração de ruído para ocultar códigos de autenticação em dois fatores (2FA) e alertas de segurança

Problemas da Coinbase

  • Terceirização de tarefas sensíveis de segurança: contratados no exterior podiam acessar informações de identidade de clientes e dados de conta
  • Falha na detecção da violação: apesar de o ataque estar em andamento desde janeiro, o sistema interno de monitoramento não detectou nada até maio
  • Relatos de usuários ignorados: não houve resposta por 4 meses ao relatório técnico e às perguntas da vítima
  • Atraso na divulgação: embora o ataque estivesse em curso havia meses, o reconhecimento oficial só ocorreu após a exigência de resgate

Conselhos de segurança para usuários

  • Não confiar em número de telefone nem em identificador de chamadas; confirmar sempre pelo número oficial no site
  • Mesmo que o atacante conheça seus dados pessoais, não confie; é necessária autenticação em duas vias
  • Verificar servidor de envio, SPF e resultados de DKIM por meio da análise dos cabeçalhos do e-mail
  • Validar números de retorno e confirmar identidade por meio de procedimentos de autenticação dentro do app
  • Recusar pedidos urgentes de movimentação de fundos e usar 2FA baseado em aplicativo em vez de SMS
  • Em caso de ataque, denunciar imediatamente com todas as informações técnicas

O significado do intervalo de 4 meses

  • A vítima enviou em janeiro evidências da violação e gravações, mas a Coinbase não respondeu até maio
  • Nesse período, outros clientes também podem ter sido expostos ao mesmo ataque
  • O silêncio da Coinbase revela falhas estruturais no sistema de alerta de segurança e nos procedimentos de atendimento ao cliente
  • O caso simboliza os problemas de confiança e responsabilidade das exchanges centralizadas, e a vítima concluiu que “esse silêncio durou 120 dias”

Perguntas centrais que restam para a Coinbase

  • Quando foi o momento real do vazamento de dados
  • Qual foi o número de vítimas entre janeiro e maio e como os relatos foram tratados
  • Qual foi a causa da falha nos controles de acesso internos e como está a resposta regulatória
  • A eficácia das medidas de segurança aprimoradas alegadas pela Coinbase pode ser verificada

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.