1 points par GN⁺ 2025-05-16 | 1 commentaires | Partager sur WhatsApp
  • Coinbase a révélé qu’une fuite de données clients s’est produite après la corruption de personnels de support à l’étranger ; les attaquants comptaient utiliser ces données dans des attaques d’ingénierie sociale, et le coût de remédiation est estimé jusqu’à 400 millions de dollars
  • Les attaquants affirment avoir obtenu, le 11 mai, des informations sur certains comptes clients ainsi que des documents internes, et ont exigé 20 millions de dollars en échange de leur non-divulgation
  • Les données divulguées comprenaient des noms, coordonnées, informations bancaires masquées, images de pièces d’identité et soldes de compte, mais les mots de passe, clés privées et fonds n’ont pas été exposés, et les comptes Coinbase Prime n’ont pas été affectés
  • Coinbase a refusé de payer la rançon et coopère avec les forces de l’ordre ; l’entreprise a licencié les employés concernés, averti les clients potentiellement touchés et renforcé la protection de surveillance contre la fraude
  • L’entreprise offre une récompense de 20 millions de dollars pour toute information menant à l’arrestation et à la condamnation des responsables, et a indiqué qu’elle rembourserait les clients ayant envoyé des fonds après avoir été trompés par les attaquants

Vol de données provoqué par la corruption de personnels de support à l’étranger

  • Selon Coinbase, des cybercriminels ont soudoyé des agents de support à l’étranger pour voler des données clients, qu’ils prévoyaient d’utiliser dans des attaques d’ingénierie sociale
  • Le coût de remédiation de cet incident pourrait atteindre 400 millions de dollars
  • L’action Coinbase a chuté de plus de 6 % dans les échanges de la matinée

Exigence de 20 millions de dollars et réponse de Coinbase

  • Coinbase a reçu, le 11 mai, un e-mail affirmant que certains comptes clients et des documents internes avaient été obtenus
    • L’entreprise a indiqué dans un document déposé auprès de la SEC que ces documents internes comprenaient des éléments liés au service client et aux systèmes de gestion des comptes
  • Les attaquants ont exigé 20 millions de dollars en échange de la non-divulgation de ces informations
  • Coinbase n’a pas payé la rançon et mène l’enquête sur l’incident avec les forces de l’ordre
  • Dans un billet de blog, l’entreprise a déclaré qu’au lieu de céder à cette demande, elle mettrait en place une récompense de 20 millions de dollars pour toute information menant à l’arrestation et à la condamnation des criminels

Informations exposées et périmètre d’impact

  • Les données affectées incluaient des informations clients sensibles
    • nom, adresse, numéro de téléphone, e-mail
    • numéros de compte bancaire masqués et identifiants
    • les 4 derniers chiffres du numéro de Social Security
    • images de pièces d’identité officielles
    • soldes de compte
  • Les mots de passe, clés privées et fonds n’ont pas été exposés
  • Les comptes Coinbase Prime n’ont pas été affectés
  • Les clients ayant envoyé des fonds après avoir été trompés par les attaquants seront remboursés

Abus d’accès interne et détection préalable

  • Les attaquants ont obtenu des informations en soudoyant des sous-traitants à l’étranger et des employés occupant des fonctions de support
  • Les initiés corrompus ont abusé de leur accès aux systèmes de support client pour voler des données sur certains comptes clients
  • Coinbase a détecté l’intrusion de manière indépendante au cours des mois précédents et a immédiatement licencié les employés concernés
  • L’entreprise a averti les clients susceptibles d’avoir eu leurs informations consultées et a renforcé la protection de surveillance contre la fraude

Évolutions récentes de l’activité de Coinbase

  • Coinbase exploite la plus grande plateforme d’échange de cryptomonnaies aux États-Unis
  • Au cours de la dernière semaine, l’entreprise a annoncé une acquisition censée soutenir son expansion mondiale, et sa prochaine entrée dans le S&P 500, effective à partir de la semaine prochaine, a également été confirmée
  • Lors de la conférence téléphonique sur les résultats la semaine dernière, le CEO Brian Armstrong a déclaré vouloir faire de Coinbase l’application de services financiers n°1 au monde dans les 5 à 10 prochaines années

1 commentaires

 
GN⁺ 2025-05-16
Avis sur Hacker News
  • Lien vers le dépôt SEC original : https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • Je reçois régulièrement des appels de spear phishing, soit de leur part, soit de quelqu’un qui a acheté les données divulguées
    C’est le scénario classique : ils disent devoir vérifier une transaction potentiellement frauduleuse, parlent un anglais parfait avec un accent américain, ont l’air très amicaux et connaissent même le solde du compte
    Heureusement, j’ai compris dès le premier appel qu’il s’agissait d’une arnaque, et le filtrage d’appels de Google a bien bloqué les autres
    Si possible, j’aimerais les rediriger vers Kitboga : https://www.youtube.com/watch?v=HNziOoXDBeg

    • Si vous avez déjà eu des actifs significatifs chez Coinbase avant cette fuite, le spear phishing est le moindre de vos soucis
      Coinbase a livré non seulement les noms et adresses, mais aussi les soldes, l’historique des transactions et des images de pièces d’identité officielles ; des personnes ayant de gros soldes en crypto se font agresser dans la rue ou à leur domicile, ou voient des membres de leur famille enlevés contre rançon
      Ici, un « gros » montant peut être inférieur ou égal à 10 000 dollars
      Jusqu’ici, la meilleure défense était la discrétion : ne pas parler publiquement de crypto d’une manière pouvant être reliée à son identité réelle, mais grâce à Coinbase, cette ligne de défense a disparu
      Les malfaiteurs peuvent savoir qui a déjà eu un solde significatif chez Coinbase, si ce solde a été converti en cash et pour quel montant, et si la personne a déjà transféré des tokens vers son propre wallet hors de l’exchange
      Ils savent maintenant qui vaut la peine d’être kidnappé et où cette personne habite ; en cherchant son nom et son adresse sur Google, ils trouveront aussi généralement les noms des membres de sa famille à menacer ou à enlever
      Coinbase ne sera probablement pas contrainte d’indemniser l’intégralité du coût réel des dommages, car ce coût serait suffisant pour faire faillite l’entreprise
    • Je suis passé d’un Pixel à un iPhone et je suis choqué par le nombre d’appels de spam
      Je me demande comment les utilisateurs d’iPhone gèrent ça
    • J’ai commencé à recevoir régulièrement par SMS des codes de vérification de connexion Coinbase alors que je n’avais rien tenté
      Même chose pour mon compte Microsoft
      En général, je les ignore simplement, mais j’ai l’impression que quelqu’un teste s’il peut se connecter avec mon e-mail
    • Je me demande depuis combien de temps ces appels de spear phishing ont augmenté
      Il est difficile de croire l’explication selon laquelle Coinbase n’y voyait pas un problème systémique avant d’être contactée par des « cybercriminels »
    • Depuis l’IA, les arnaques sont devenues plus sophistiquées, et les fautes d’orthographe habituelles ont en grande partie disparu
      Il y a quelque temps, par curiosité, j’ai regardé un e-mail de phishing et j’ai repéré un caractère Unicode étrange mal traduit ; j’ai tout de suite compris que c’était la trace d’une traduction médiocre
      Ce n’est pas parfait, mais c’est plutôt bien ficelé
  • Le problème, c’est que les données divulguées ressemblent à celles utilisées pour la récupération de compte
    Autrement dit, que la perte d’accès au compte soit due à votre propre erreur ou à celle de Coinbase, la procédure de récupération pourrait ne plus être simple, et des hackers pourraient utiliser ces informations divulguées pour tenter de « récupérer » des comptes
    Coinbase a besoin d’agences physiques. Il faut un endroit où traiter directement des choses comme la récupération de compte, et où l’on puisse attraper et poursuivre les personnes qui essaient de voler de l’argent ; cela constituerait aussi un obstacle important pour des voleurs qui opèrent généralement depuis l’étranger
    La seule solution ici est une authentification à deux facteurs matérielle comme une YubiKey

    • Le secteur des cryptomonnaies continue de redécouvrir à grande vitesse pourquoi le système financier mondial existe
      Ce que vous venez de décrire ressemble à ce que beaucoup de partisans des cryptos appellent une banque
    • C’est juste une banque
    • Que faut-il faire si l’on perd une authentification à deux facteurs matérielle comme une YubiKey ? On ne revient pas finalement à l’étape de récupération de compte ?
    • Si vous avez déjà envoyé de l’argent vers un wallet que vous contrôlez, faire signer un message avec cette clé et permettre à Coinbase de le vérifier avec l’adresse enregistrée pourrait être un facteur de récupération fiable
      Après tout, la crypto est une autre infrastructure à clé publique
    • 99 % des données utilisées pour la récupération de compte sont des informations issues de registres publics ou déjà présentes dans des dizaines de fuites de données majeures
  • J’ai contacté le support client de Coinbase pour vérifier si j’étais concerné
    Après avoir perdu du temps avec un bot IA, j’ai été mis en relation avec un humain ; cet employé n’était pas au courant de la fuite, et c’est moi qui lui en ai parlé en premier

    • Ils ont envoyé un e-mail aux comptes concernés
      Source : je suis concerné
    • Vous avez entendu le script du type « waouh, nous n’étions pas au courant, c’est vous qui nous l’apprenez »
  • Si Coinbase devait conserver beaucoup plus d’informations sensibles que nécessaire pour l’identification et l’authentification, c’est à cause des règles KYC
    Si des photos de passeport sont volées et que des criminels ou des employés malveillants de Coinbase en font quelque chose, une partie de la responsabilité revient au gouvernement

    • Les règles KYC existent pour de très bonnes raisons
      Le problème ici n’est pas la régulation gouvernementale, mais le fait qu’une entreprise privée traite les données de ses clients avec négligence
      Être négligent coûte moins cher, et comme les informations en jeu n’appartiennent pas à l’entreprise mais aux clients, elle a peu d’incitation à les protéger correctement tant que la loi ne l’y oblige pas
    • C’est une façon beaucoup trop facile de se défausser
      Il faudrait expliquer honnêtement pourquoi tous les agents du support devraient avoir un accès permanent aux documents d’identité
      Ces documents ne sont nécessaires que pour les règles KYC
  • Coinbase semble faire beaucoup d’efforts pour se dissocier de ce qu’elle appelle des « agents de support malveillants à l’étranger »
    S’ils étaient employés ou sous-traitants de Coinbase, cela revient en pratique à dire que l’entreprise a vendu ses propres données à des hackers, qui ont ensuite réclamé une rançon
    Il est logique d’indemniser les clients qui ont été piégés et ont envoyé de l’argent. L’argument juridique selon lequel les actions de Coinbase ont conduit aux pertes semble assez clair
    Ce qui m’intéresse davantage, c’est de savoir si quelqu’un qui estime devoir déménager, changer de banque, changer d’e-mail, engager du personnel de sécurité, etc., pourrait gagner un procès pour faire payer tout ou partie de ces coûts à l’entreprise

    • Cette interprétation est étrange
      Si un employé de l’entreprise a enfreint les règles et, probablement illégalement, exfiltré des données internes de l’entreprise pour les vendre à des hackers, il est difficile de dire que « notre entreprise a vendu les données »
  • Billet de blog de Coinbase : https://www.coinbase.com/blog/protecting-our-customers-stand...
    Ils disent qu’ils indemniseront les clients qui ont été trompés par une attaque d’ingénierie sociale et ont envoyé des fonds aux attaquants, et que les clients dont les données ont été consultées ont déjà reçu un e-mail depuis no-reply@info.coinbase.com.
    Ils indiquent que toutes les notifications envoyées aux clients concernés l’ont été le 15/05 à 7 h 20, heure de l’Est.

    • Le choix d’utiliser no-reply est intéressant.
      Je comprends qu’il soit difficile de gérer une entreprise comme Coinbase, mais leur plus grande force — la centralisation et le support client — est aussi ce qui rend possible ce type d’ingénierie sociale, donc ce choix paraît un peu étrange.
    • Ils disent que « les mots de passe, les clés privées et les fonds n’ont pas été exposés, et que les comptes Coinbase Prime n’ont pas été affectés », mais je me demande pourquoi les comptes Coinbase Prime n’étaient pas inclus dans la fuite.
      Je ne sais pas s’il existe une couche supplémentaire de protection des données derrière le paywall de Coinbase Prime, ou si les attaquants les ont délibérément évités parce qu’il s’agit probablement d’utilisateurs plus aguerris.
  • D’après la description de la fuite, les attaquants semblent avoir payé plusieurs sous-traitants ou employés chargés du support hors des États-Unis pour collecter des informations dans les systèmes internes de Coinbase auxquels ils avaient accès dans le cadre de leur travail.
    Au vu des informations divulguées, la source est très probablement le support client aux Philippines.
    Les salaires y sont généralement inférieurs à 1 000 dollars par mois, et les postes débutants peuvent être à moins de 500 dollars ; un pot-de-vin de 5 000 dollars peut donc représenter plus d’un an de revenus, sans impôts.
    C’est un petit investissement au regard de ce qu’il est possible de gagner avec ce jeu de données.
    Les éléments divulgués comprennent les noms, adresses, numéros de téléphone, e-mails, les 4 derniers chiffres masqués des numéros de sécurité sociale, des numéros de comptes bancaires masqués et certains identifiants bancaires, des images de pièces d’identité gouvernementales comme des permis de conduire ou passeports, des instantanés de soldes et l’historique des transactions, ainsi que certains documents internes, supports de formation et communications que les agents du support pouvaient consulter.
    Ce sont les données dont rêve tout attaquant ; rien qu’avec les adresses e-mail et les soldes des comptes, c’est un cauchemar.
    Au lieu de faire chanter l’entreprise, ils peuvent faire chanter directement chaque utilisateur : « envoie 50 % de tes BTC ou je publie toutes tes informations sur Internet ».
    On risque de se retrouver dans une situation similaire à la fuite de données de Vastaamo : https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • Le chantage individuel pourrait bien être le moindre des soucis.
      En France, depuis le début de l’année, il y a eu au moins cinq cas d’enlèvements et tentatives d’enlèvement liés à des investisseurs en cryptomonnaies.
    • C’est encore plus grave.
      Les entreprises américaines externalisent leur support client aux Philippines et paient 3 à 6 dollars de l’heure.
      Les prestataires qui fournissent ces services ont un turnover très élevé ; dans certaines entreprises, l’ancienneté moyenne des employés est d’environ six mois.
      Il n’y a absolument aucune raison d’être loyal.
    • Il n’y a presque pas de régulation gouvernementale de l’IA, pas de sanctions pour les fuites de données, et aucun dispositif pour protéger les gens contre les abus à grande échelle.
      On va même dans la direction opposée.
      J’ai l’impression qu’avec ce genre de choc, les États-Unis vont bientôt sombrer dans le chaos.
    • Le point essentiel n’est pas seulement les bas salaires aux Philippines, mais le fait que tout le monde a un prix.
      Aux États-Unis, le prix aurait été beaucoup plus élevé, mais les gains tirés de l’attaque auraient probablement été ajustés à un niveau encore supérieur.
  • Quelle que soit l’opinion qu’on a de Coinbase, leur réaction semble plutôt correcte.
    Ils ne paient pas la rançon de 20 millions de dollars et mettent à la place une récompense de 20 millions de dollars pour toute information menant à l’arrestation et à la condamnation des responsables.

    • Ce n’est pas correct du tout.
      Le problème, c’est que le titre est « Protecting Our Customers - Standing Up to Extortionists », et que le communiqué est rédigé de manière à pousser les gens à les féliciter, alors qu’ils devraient s’excuser d’avoir laissé fuiter des informations personnelles.
      C’est ce point qui me met vraiment en colère.
      En plus, l’objet de l’e-mail que j’ai reçu était « important notice », et le fait que mon compte personnel était concerné se trouvait dans la troisième phrase d’un long paragraphe.
      Rien de tout cela n’est correct, et cette entreprise ne donne pas l’impression de prendre l’affaire au sérieux.
    • C’est la même tactique que dans le film Ransom de 1996 : https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • J’aime bien.
      Dans ce genre de moment, c’était aussi une bonne occasion de sortir brièvement du langage corporate et de dire quelque chose comme : « allez vous faire foutre, bande de hackers ! »
      Même les gens qui vivent dans la Bible Belt savent reconnaître un juron bien placé.
    • Du point de vue des clients, il pourrait être préférable de payer la rançon et de récupérer les informations personnelles identifiables.
      Mettre aussi en place un programme de récompense, très bien, mais s’il s’agit de mes données, je suis davantage intéressé par le fait que Coinbase limite l’ampleur de la fuite que par un jeu de primes revanchard.
  • Il est vraiment regrettable que Coinbase ait dû détenir ce type d’informations au départ à cause des réglementations KYC.
    Nous devrions établir une norme sociale forte consistant à ne pas partager d’informations personnelles identifiables sans bonne raison.
    Ce n’est pas seulement un risque de vol pour les particuliers, c’est aussi un risque pour la sécurité nationale.
    Coinbase ne cotise pas à mon compte Social Security, donc ils ne devraient pas avoir mon numéro de Social Security ; ils ne viennent pas chez moi, donc ils ne devraient pas avoir mon adresse.
    Historiquement, les règles KYC étaient répandues dans les pays communistes, mais dans la plupart des démocraties, elles auraient été difficiles à imaginer avant le 11-Septembre.
    Le 11-Septembre a donné aux services de renseignement l’occasion rêvée de faire inscrire dans la loi la liste de mesures qu’ils voulaient, et malheureusement cela aide aussi les services de renseignement étrangers, autant que les services nationaux, voire davantage.
    On peut voir ici quand elles ont été introduites dans différents pays : https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • J’aimerais savoir si vous pourrez répéter cette position après que votre compte Coinbase aura été piraté et que vous chercherez un recours.