Jedna z największych giełd kryptowalutowych na świecie, Coinbase, poinformowała o poważnym naruszeniu bezpieczeństwa danych. Cyberprzestępcy przekupili zagranicznych pracowników wsparcia technicznego, aby uzyskać dostęp do danych klientów, a następnie próbowali wymusić na firmie okup w wysokości 20 milionów dolarów. Atakujący wykorzystali już skradzione informacje do przeprowadzenia ataków socjotechnicznych, podszywając się pod pracowników Coinbase.
Szczegóły ataku i próba wymuszenia
Zgodnie z informacjami ujawnionymi przez Coinbase, 11 maja 2025 roku firma otrzymała e-mail od nieznanego atakującego, który twierdził, że posiada dane klientów oraz wewnętrzną dokumentację firmy. Napastnicy zażądali 20 milionów dolarów w zamian za nieujawnianie skradzionych informacji. Coinbase nie tylko odmówiło zapłacenia okupu, ale postanowiło odwrócić sytuację, oferując nagrodę w wysokości 20 milionów dolarów za informacje prowadzące do aresztowania i skazania przestępców.
“Cyberprzestępcy przekupili i zwerbowali grupę nieuczciwych zagranicznych agentów wsparcia, aby wykraść dane klientów Coinbase w celu ułatwienia ataków socjotechnicznych” – poinformowała firma w komunikacie.
Według dyrektora ds. bezpieczeństwa Coinbase, Philipa Martina, przekupieni pracownicy wsparcia pracowali w Indiach i wszyscy zostali już zwolnieni. Firma wykryła nietypową aktywność niektórych przedstawicieli obsługi klienta już w styczniu tego roku.
Jakie dane zostały wykradzione
Atakujący uzyskali dostęp do danych mniej niż 1% aktywnych miesięcznych użytkowników platformy. Biorąc pod uwagę, że Coinbase ma około 9,7 miliona aktywnych użytkowników miesięcznie, oznacza to, że wyciek dotknął niemal 100 000 osób.
Wykradzione informacje obejmowały:
- Imiona i nazwiska
- Adresy zamieszkania
- Numery telefonów
- Adresy e-mail
- Ostatnie 4 cyfry numerów ubezpieczenia społecznego
- Zamaskowane numery kont bankowych
- Obrazy dokumentów tożsamości (prawa jazdy, paszporty)
- Historię transakcji i bilanse kont
- Ograniczone dane korporacyjne (dokumenty, materiały szkoleniowe i komunikacja dostępna dla agentów wsparcia)
Co istotne, nie doszło do wycieku haseł, kluczy prywatnych ani funduszy użytkowników. Atakujący nie uzyskali również dostępu do kont Coinbase Prime ani do gorących lub zimnych portfeli kryptowalutowych.
Działania podjęte przez Coinbase
Brian Armstrong, CEO Coinbase, zapewnił, że firma aktywnie pracuje nad identyfikacją i schwytaniem przestępców. “Do tych potencjalnych wymuszaczy lub każdego, kto próbuje zaszkodzić klientom Coinbase – bądźcie świadomi, że podejmiemy działania prawne i dopilnujemy, abyście stanęli przed wymiarem sprawiedliwości” – oświadczył Armstrong.
Coinbase podjęło natychmiastowe działania:
- Zwolniono zaangażowanych pracowników i przekazano ich sprawy organom ścigania
- Wdrożono wzmocnione środki monitorowania oszustw
- Ostrzeżono klientów, których dane mogły zostać naruszone
- Zaoferowano zwrot środków klientom, którzy zostali oszukani i przekazali swoje kryptowaluty napastnikom
- Planuje otwarcie nowego centrum wsparcia w USA
- Zwiększa inwestycje w wykrywanie zagrożeń cybernetycznych
Potencjalne konsekwencje finansowe i ostrzeżenia dla użytkowników
Coinbase szacuje, że koszty naprawy i rekompensaty związane z tym incydentem mogą wynieść od 180 do 400 milionów dolarów. Po ujawnieniu informacji o ataku, akcje firmy spadły o ponad 6% podczas porannej sesji giełdowej.
Firma podkreśla, że użytkownicy powinni spodziewać się oszustów podszywających się pod pracowników Coinbase. “Oszuści – związani z tym naruszeniem lub nie – mogą podawać się za pracowników Coinbase i próbować nakłonić cię do przeniesienia środków” – ostrzega firma.
Coinbase przypomina użytkownikom, że nigdy nie prosi o hasła, kody 2FA ani o transfer aktywów na konkretny lub nowy adres, konto czy portfel. Firma zaleca również włączenie funkcji zezwalania na wypłaty tylko na adresy z książki adresowej oraz zachowanie czujności wobec oszustów.
W oświadczeniu Coinbase podkreślono, że “adopcja kryptowalut zależy od zaufania”. Firma zapewnia, że będzie nadal inwestować w światowej klasy zabezpieczenia, aby chronić swoich klientów i utrzymywać bezpieczeństwo ekosystemu kryptowalutowego.
Ten incydent przypomina, że nawet największe giełdy kryptowalutowe mogą stać się celem złożonych ataków, w których wykorzystywane są nie tylko luki techniczne, ale również czynnik ludzki jako słabe ogniwo bezpieczeństwa.
