Coinbase divulga registros que indicam meses de ataque antes de saber oficialmente da violação

 (jonathanclark.com)
1 pontos por GN⁺ 2025-11-17 | 1 comentários | Compartilhar no WhatsApp
  • Em janeiro de 2025, surgiu um caso em que foi revelado que o atacante conhecia dados pessoais detalhados, como número de seguridade social e saldo em Bitcoin
  • A vítima enviou imediatamente à equipe de segurança da Coinbase um relatório técnico detalhado, mas por 4 meses não houve resposta às perguntas centrais
  • Só em maio a Coinbase reconheceu o vazamento interno de dados por funcionários da terceirizada estrangeira (TaskUs) e anunciou impacto em cerca de 1% dos clientes e prejuízo de até US$ 400 milhões
  • A análise dos cabeçalhos de e-mail confirmou uma estrutura de ataque em várias etapas, incluindo envio forjado via Amazon SES, uso de número Google Voice e ataque de bomba de SMS
  • O intervalo de 4 meses entre o relato e a divulgação expõe falhas no monitoramento de segurança e ausência de resposta, destacando o problema de confiança em exchanges centralizadas

Visão geral do caso

  • Em 7 de janeiro de 2025, a vítima recebeu um e-mail com o título “2.93 ETH withdrawal request” e depois uma ligação se passando pela Coinbase
    • O autor da ligação conhecia dados não públicos, como número de seguridade social, saldo em Bitcoin e informações da carteira de motorista
    • A vítima reportou isso imediatamente à equipe de segurança da Coinbase e enviou material detalhado de análise, incluindo cabeçalhos de e-mail, gravação de voz e informações sobre o atacante
  • Brett Farmer, responsável por Trust & Safety na Coinbase, respondeu que era “um relatório muito sólido”, mas depois deixou de responder a todos os contatos de acompanhamento

Divergência com o anúncio oficial da Coinbase

  • A Coinbase anunciou que só percebeu a violação em 11 de maio de 2025 e a divulgou em 15 de maio
    • Os atacantes subornaram funcionários da TaskUs na Índia para roubar dados de clientes
    • Itens vazados: nome, endereço, telefone, e-mail, 4 dígitos finais do número de seguridade social, imagem de documento oficial, saldo de conta e histórico de transações
    • O impacto foi estimado em menos de 1% dos clientes e perdas entre US$ 180 milhões e US$ 400 milhões
    Publicidade
  • Porém, a vítima já havia apresentado em janeiro evidências de que os atacantes tinham acesso a dados internos, e a Coinbase ignorou isso

Estrutura detalhada do ataque

  • Falsificação de e-mail:
    • O endereço do remetente era commerce@coinbase.com, mas o servidor real de envio era Amazon SES(a32-86.smtp-out.amazonses.com)
    • As assinaturas DKIM de coinbase.com e amazonses.com foram ambas aprovadas, simulando legitimidade
    • O Return-Path estava configurado como amazonses.com, indicando possibilidade de falsificação
  • Golpe por telefone:
    • O número de origem 1-805-885-0141 foi identificado como um número Google Voice
    • O atacante tentou induzir a vítima a “mover os ativos para uma cold wallet”
  • Ataque de bomba de SMS:
    • Logo após a ligação, chegaram centenas de mensagens de spam
    • Isso foi analisado como uma técnica de geração de ruído para ocultar códigos de autenticação em dois fatores (2FA) e alertas de segurança
Publicidade

Problemas da Coinbase

  • Terceirização de tarefas sensíveis de segurança: contratados no exterior podiam acessar informações de identidade de clientes e dados de conta
  • Falha na detecção da violação: apesar de o ataque estar em andamento desde janeiro, o sistema interno de monitoramento não detectou nada até maio
  • Relatos de usuários ignorados: não houve resposta por 4 meses ao relatório técnico e às perguntas da vítima
  • Atraso na divulgação: embora o ataque estivesse em curso havia meses, o reconhecimento oficial só ocorreu após a exigência de resgate

Conselhos de segurança para usuários

  • Não confiar em número de telefone nem em identificador de chamadas; confirmar sempre pelo número oficial no site
  • Mesmo que o atacante conheça seus dados pessoais, não confie; é necessária autenticação em duas vias
  • Verificar servidor de envio, SPF e resultados de DKIM por meio da análise dos cabeçalhos do e-mail
  • Validar números de retorno e confirmar identidade por meio de procedimentos de autenticação dentro do app
  • Recusar pedidos urgentes de movimentação de fundos e usar 2FA baseado em aplicativo em vez de SMS
  • Em caso de ataque, denunciar imediatamente com todas as informações técnicas

O significado do intervalo de 4 meses

  • A vítima enviou em janeiro evidências da violação e gravações, mas a Coinbase não respondeu até maio
  • Nesse período, outros clientes também podem ter sido expostos ao mesmo ataque
  • O silêncio da Coinbase revela falhas estruturais no sistema de alerta de segurança e nos procedimentos de atendimento ao cliente
  • O caso simboliza os problemas de confiança e responsabilidade das exchanges centralizadas, e a vítima concluiu que “esse silêncio durou 120 dias”

Perguntas centrais que restam para a Coinbase

  • Quando foi o momento real do vazamento de dados
  • Qual foi o número de vítimas entre janeiro e maio e como os relatos foram tratados
  • Qual foi a causa da falha nos controles de acesso internos e como está a resposta regulatória
  • A eficácia das medidas de segurança aprimoradas alegadas pela Coinbase pode ser verificada

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-17
Opiniões do Hacker News

  • Segundo uma reportagem da Reuters de 2 de junho, veio à tona que a Coinbase sabia desde janeiro sobre o vazamento de dados de clientes por meio de uma empresa terceirizada
    Segundo um comunicado à SEC de 14 de maio, em 11 de maio a Coinbase recebeu um e-mail de um invasor desconhecido dizendo que havia obtido informações de contas de clientes e documentos internos, incluindo materiais relacionados aos sistemas de atendimento ao cliente e gestão de contas

    • Eu relatei esse problema à Coinbase em 7 de janeiro. O timing bate exatamente. Pela postura confiante do funcionário com quem falei, acho que eu não fui o primeiro a denunciar
    • A palavra “terceirizada” parece que vai virar um subtítulo recorrente nessas notícias de incidentes daqui para frente

  • Há um tempo, cuidei do trabalho de rede de um coworking onde a Coinbase estava instalada, e a senha de administrador estava escrita no quadro branco e visível do corredor
    Avisei por e-mail e até cobrei pelo serviço, mas a solução deles foi cobrir a senha com uma folha de papel. Eram tempos realmente absurdos

    • Mandar fatura por um serviço não solicitado é uma ótima forma de fazer com que ninguém leve seu e-mail a sério
    • Isso não me surpreende nem um pouco. O setor inteiro de Bitcoin e fintech é imprudente demais

  • Mais ou menos um mês atrás, no Reino Unido, recebi uma ligação de alguém dizendo ser da Coinbase
    Quando falei que só tinha cerca de £5 em Bitcoin Cash na minha conta, perderam o interesse na hora e disseram que resolveriam por e-mail
    Perguntaram se eu tinha “cold storage”, e eu respondi que tinha uma geladeira. O que era verdade

    • Hahaha, na próxima vez que receber uma ligação de spam, vou usar essa piada também

  • O título da matéria é muito caça-cliques (clickbait)
    Na prática, é só uma gravação em que um golpista de phishing tentou arrancar informações, e isso não prova que a Coinbase sabia do vazamento
    O fato de o autor ter enviado o material à Coinbase não significa que eles já tivessem ciência do breach

    • Eu enviei a gravação da ligação e os e-mails para a Coinbase, e eles responderam: “este relato é muito sólido e vale muito a pena investigar. No momento, estamos investigando o golpista
    • Acho que você não leu a matéria direito. Tudo o que é necessário está no texto

  • A história é interessante, mas me incomodou demais o fato de o texto ter sido escrito por IA. Foi desconfortável de ler

    • Dá vontade de perguntar como você tem tanta certeza. LLMs imitam o jeito humano de falar, mas esse jeito também vem do estilo de alguém.
      É bem provável que os padrões de linguagem atuais dos LLMs sejam resultado da cópia dos hábitos de escrita de alguém
    • Não sei se foi escrito por IA, mas a mesma coisa é repetida várias vezes. Dava para cortar o texto para 1/3 e o conteúdo seria o mesmo
    • Eu também me incomodei com esse “tom de LinkedIn” típico de IA. A estrutura das frases melhorou, mas ainda tem dramatização exagerada, listas desnecessárias e títulos artificiais como “The Call That Changed Everything”
      Especialmente expressões como “The Timeline That Doesn’t Make Sense” não combinam com o conteúdo real.
      Se uma grande empresa está no meio de uma investigação complexa, é natural que leve tempo até um anúncio; a IA ignora o contexto e conclui que “tem algo estranho”.
      Esse tipo de julgamento sem contexto parece ser o maior problema dos textos de IA
    • Para fazer esse tipo de afirmação, é preciso ter material de apoio

  • Isso dificilmente pode ser visto como prova
    O autor só recebeu uma ligação de phishing e reportou à Coinbase. A Coinbase recebe centenas de relatos de phishing todos os dias
    As informações que o atacante conhecia podem ter vindo de outro vazamento de dados. Também é bem possível que o cliente tenha exposto informações da conta por engano

    • No começo achei que eles tinham rastreado meu histórico de transações em blockchain e ligado isso ao meu nome.
      Mas o atacante sabia até meus saldos em ETH e BTC, além da data de criação da conta.
      A data de criação talvez dê para rastrear, mas saber o saldo das duas moedas ao mesmo tempo parece impossível sem informação interna da Coinbase

  • A linha do tempo é interessante, mas esse caso isolado não basta para concluir que a Coinbase tinha conhecimento do vazamento
    Malware de screen scraping é comum, e para um analista seria natural concluir que se tratava de infecção no lado do cliente
    De fato, muitas vezes o cliente é hackeado e culpa a empresa

    • Mas quando eu enviei a gravação da ligação e até os cabeçalhos do e-mail, o responsável por confiança e segurança da Coinbase respondeu pessoalmente: “este relato é muito sólido. No momento, estamos investigando o golpista”

  • Eu também detectei sinais de invasão na Coinbase em período parecido
    Até a chave de API do Discord vazou, e só foi resetada por volta de abril-maio.
    Isso parece indicar que até o sistema central de gestão de segredos (secrets manager) foi comprometido

  • Nossa organização também usa a Coinbase, e no início de fevereiro de 2025 sofremos uma tentativa de ataque
    Felizmente, o responsável pela conta era desconfiado e confirmou diretamente pelo contato oficial da outra organização, evitando o prejuízo