- Coinbase a révélé qu’une fuite de données clients s’est produite après la corruption de personnels de support à l’étranger ; les attaquants comptaient utiliser ces données dans des attaques d’ingénierie sociale, et le coût de remédiation est estimé jusqu’à 400 millions de dollars
- Les attaquants affirment avoir obtenu, le 11 mai, des informations sur certains comptes clients ainsi que des documents internes, et ont exigé 20 millions de dollars en échange de leur non-divulgation
- Les données divulguées comprenaient des noms, coordonnées, informations bancaires masquées, images de pièces d’identité et soldes de compte, mais les mots de passe, clés privées et fonds n’ont pas été exposés, et les comptes Coinbase Prime n’ont pas été affectés
- Coinbase a refusé de payer la rançon et coopère avec les forces de l’ordre ; l’entreprise a licencié les employés concernés, averti les clients potentiellement touchés et renforcé la protection de surveillance contre la fraude
- L’entreprise offre une récompense de 20 millions de dollars pour toute information menant à l’arrestation et à la condamnation des responsables, et a indiqué qu’elle rembourserait les clients ayant envoyé des fonds après avoir été trompés par les attaquants
Vol de données provoqué par la corruption de personnels de support à l’étranger
- Selon Coinbase, des cybercriminels ont soudoyé des agents de support à l’étranger pour voler des données clients, qu’ils prévoyaient d’utiliser dans des attaques d’ingénierie sociale
- Le coût de remédiation de cet incident pourrait atteindre 400 millions de dollars
- L’action Coinbase a chuté de plus de 6 % dans les échanges de la matinée
Exigence de 20 millions de dollars et réponse de Coinbase
- Coinbase a reçu, le 11 mai, un e-mail affirmant que certains comptes clients et des documents internes avaient été obtenus
- L’entreprise a indiqué dans un document déposé auprès de la SEC que ces documents internes comprenaient des éléments liés au service client et aux systèmes de gestion des comptes
- Les attaquants ont exigé 20 millions de dollars en échange de la non-divulgation de ces informations
- Coinbase n’a pas payé la rançon et mène l’enquête sur l’incident avec les forces de l’ordre
- Dans un billet de blog, l’entreprise a déclaré qu’au lieu de céder à cette demande, elle mettrait en place une récompense de 20 millions de dollars pour toute information menant à l’arrestation et à la condamnation des criminels
Informations exposées et périmètre d’impact
- Les données affectées incluaient des informations clients sensibles
- nom, adresse, numéro de téléphone, e-mail
- numéros de compte bancaire masqués et identifiants
- les 4 derniers chiffres du numéro de Social Security
- images de pièces d’identité officielles
- soldes de compte
- Les mots de passe, clés privées et fonds n’ont pas été exposés
- Les comptes Coinbase Prime n’ont pas été affectés
- Les clients ayant envoyé des fonds après avoir été trompés par les attaquants seront remboursés
Abus d’accès interne et détection préalable
- Les attaquants ont obtenu des informations en soudoyant des sous-traitants à l’étranger et des employés occupant des fonctions de support
- Les initiés corrompus ont abusé de leur accès aux systèmes de support client pour voler des données sur certains comptes clients
- Coinbase a détecté l’intrusion de manière indépendante au cours des mois précédents et a immédiatement licencié les employés concernés
- L’entreprise a averti les clients susceptibles d’avoir eu leurs informations consultées et a renforcé la protection de surveillance contre la fraude
Évolutions récentes de l’activité de Coinbase
- Coinbase exploite la plus grande plateforme d’échange de cryptomonnaies aux États-Unis
- Au cours de la dernière semaine, l’entreprise a annoncé une acquisition censée soutenir son expansion mondiale, et sa prochaine entrée dans le S&P 500, effective à partir de la semaine prochaine, a également été confirmée
- Lors de la conférence téléphonique sur les résultats la semaine dernière, le CEO Brian Armstrong a déclaré vouloir faire de Coinbase l’application de services financiers n°1 au monde dans les 5 à 10 prochaines années
1 commentaires
Avis sur Hacker News
Lien vers le dépôt SEC original : https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
Je reçois régulièrement des appels de spear phishing, soit de leur part, soit de quelqu’un qui a acheté les données divulguées
C’est le scénario classique : ils disent devoir vérifier une transaction potentiellement frauduleuse, parlent un anglais parfait avec un accent américain, ont l’air très amicaux et connaissent même le solde du compte
Heureusement, j’ai compris dès le premier appel qu’il s’agissait d’une arnaque, et le filtrage d’appels de Google a bien bloqué les autres
Si possible, j’aimerais les rediriger vers Kitboga : https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase a livré non seulement les noms et adresses, mais aussi les soldes, l’historique des transactions et des images de pièces d’identité officielles ; des personnes ayant de gros soldes en crypto se font agresser dans la rue ou à leur domicile, ou voient des membres de leur famille enlevés contre rançon
Ici, un « gros » montant peut être inférieur ou égal à 10 000 dollars
Jusqu’ici, la meilleure défense était la discrétion : ne pas parler publiquement de crypto d’une manière pouvant être reliée à son identité réelle, mais grâce à Coinbase, cette ligne de défense a disparu
Les malfaiteurs peuvent savoir qui a déjà eu un solde significatif chez Coinbase, si ce solde a été converti en cash et pour quel montant, et si la personne a déjà transféré des tokens vers son propre wallet hors de l’exchange
Ils savent maintenant qui vaut la peine d’être kidnappé et où cette personne habite ; en cherchant son nom et son adresse sur Google, ils trouveront aussi généralement les noms des membres de sa famille à menacer ou à enlever
Coinbase ne sera probablement pas contrainte d’indemniser l’intégralité du coût réel des dommages, car ce coût serait suffisant pour faire faillite l’entreprise
Je me demande comment les utilisateurs d’iPhone gèrent ça
Même chose pour mon compte Microsoft
En général, je les ignore simplement, mais j’ai l’impression que quelqu’un teste s’il peut se connecter avec mon e-mail
Il est difficile de croire l’explication selon laquelle Coinbase n’y voyait pas un problème systémique avant d’être contactée par des « cybercriminels »
Il y a quelque temps, par curiosité, j’ai regardé un e-mail de phishing et j’ai repéré un caractère Unicode étrange mal traduit ; j’ai tout de suite compris que c’était la trace d’une traduction médiocre
Ce n’est pas parfait, mais c’est plutôt bien ficelé
Le problème, c’est que les données divulguées ressemblent à celles utilisées pour la récupération de compte
Autrement dit, que la perte d’accès au compte soit due à votre propre erreur ou à celle de Coinbase, la procédure de récupération pourrait ne plus être simple, et des hackers pourraient utiliser ces informations divulguées pour tenter de « récupérer » des comptes
Coinbase a besoin d’agences physiques. Il faut un endroit où traiter directement des choses comme la récupération de compte, et où l’on puisse attraper et poursuivre les personnes qui essaient de voler de l’argent ; cela constituerait aussi un obstacle important pour des voleurs qui opèrent généralement depuis l’étranger
La seule solution ici est une authentification à deux facteurs matérielle comme une YubiKey
Ce que vous venez de décrire ressemble à ce que beaucoup de partisans des cryptos appellent une banque
Après tout, la crypto est une autre infrastructure à clé publique
J’ai contacté le support client de Coinbase pour vérifier si j’étais concerné
Après avoir perdu du temps avec un bot IA, j’ai été mis en relation avec un humain ; cet employé n’était pas au courant de la fuite, et c’est moi qui lui en ai parlé en premier
Source : je suis concerné
Si Coinbase devait conserver beaucoup plus d’informations sensibles que nécessaire pour l’identification et l’authentification, c’est à cause des règles KYC
Si des photos de passeport sont volées et que des criminels ou des employés malveillants de Coinbase en font quelque chose, une partie de la responsabilité revient au gouvernement
Le problème ici n’est pas la régulation gouvernementale, mais le fait qu’une entreprise privée traite les données de ses clients avec négligence
Être négligent coûte moins cher, et comme les informations en jeu n’appartiennent pas à l’entreprise mais aux clients, elle a peu d’incitation à les protéger correctement tant que la loi ne l’y oblige pas
Il faudrait expliquer honnêtement pourquoi tous les agents du support devraient avoir un accès permanent aux documents d’identité
Ces documents ne sont nécessaires que pour les règles KYC
Coinbase semble faire beaucoup d’efforts pour se dissocier de ce qu’elle appelle des « agents de support malveillants à l’étranger »
S’ils étaient employés ou sous-traitants de Coinbase, cela revient en pratique à dire que l’entreprise a vendu ses propres données à des hackers, qui ont ensuite réclamé une rançon
Il est logique d’indemniser les clients qui ont été piégés et ont envoyé de l’argent. L’argument juridique selon lequel les actions de Coinbase ont conduit aux pertes semble assez clair
Ce qui m’intéresse davantage, c’est de savoir si quelqu’un qui estime devoir déménager, changer de banque, changer d’e-mail, engager du personnel de sécurité, etc., pourrait gagner un procès pour faire payer tout ou partie de ces coûts à l’entreprise
Si un employé de l’entreprise a enfreint les règles et, probablement illégalement, exfiltré des données internes de l’entreprise pour les vendre à des hackers, il est difficile de dire que « notre entreprise a vendu les données »
Billet de blog de Coinbase : https://www.coinbase.com/blog/protecting-our-customers-stand...
Ils disent qu’ils indemniseront les clients qui ont été trompés par une attaque d’ingénierie sociale et ont envoyé des fonds aux attaquants, et que les clients dont les données ont été consultées ont déjà reçu un e-mail depuis no-reply@info.coinbase.com.
Ils indiquent que toutes les notifications envoyées aux clients concernés l’ont été le 15/05 à 7 h 20, heure de l’Est.
Je comprends qu’il soit difficile de gérer une entreprise comme Coinbase, mais leur plus grande force — la centralisation et le support client — est aussi ce qui rend possible ce type d’ingénierie sociale, donc ce choix paraît un peu étrange.
Je ne sais pas s’il existe une couche supplémentaire de protection des données derrière le paywall de Coinbase Prime, ou si les attaquants les ont délibérément évités parce qu’il s’agit probablement d’utilisateurs plus aguerris.
D’après la description de la fuite, les attaquants semblent avoir payé plusieurs sous-traitants ou employés chargés du support hors des États-Unis pour collecter des informations dans les systèmes internes de Coinbase auxquels ils avaient accès dans le cadre de leur travail.
Au vu des informations divulguées, la source est très probablement le support client aux Philippines.
Les salaires y sont généralement inférieurs à 1 000 dollars par mois, et les postes débutants peuvent être à moins de 500 dollars ; un pot-de-vin de 5 000 dollars peut donc représenter plus d’un an de revenus, sans impôts.
C’est un petit investissement au regard de ce qu’il est possible de gagner avec ce jeu de données.
Les éléments divulgués comprennent les noms, adresses, numéros de téléphone, e-mails, les 4 derniers chiffres masqués des numéros de sécurité sociale, des numéros de comptes bancaires masqués et certains identifiants bancaires, des images de pièces d’identité gouvernementales comme des permis de conduire ou passeports, des instantanés de soldes et l’historique des transactions, ainsi que certains documents internes, supports de formation et communications que les agents du support pouvaient consulter.
Ce sont les données dont rêve tout attaquant ; rien qu’avec les adresses e-mail et les soldes des comptes, c’est un cauchemar.
Au lieu de faire chanter l’entreprise, ils peuvent faire chanter directement chaque utilisateur : « envoie 50 % de tes BTC ou je publie toutes tes informations sur Internet ».
On risque de se retrouver dans une situation similaire à la fuite de données de Vastaamo : https://en.wikipedia.org/wiki/Vastaamo_data_breach
En France, depuis le début de l’année, il y a eu au moins cinq cas d’enlèvements et tentatives d’enlèvement liés à des investisseurs en cryptomonnaies.
Les entreprises américaines externalisent leur support client aux Philippines et paient 3 à 6 dollars de l’heure.
Les prestataires qui fournissent ces services ont un turnover très élevé ; dans certaines entreprises, l’ancienneté moyenne des employés est d’environ six mois.
Il n’y a absolument aucune raison d’être loyal.
On va même dans la direction opposée.
J’ai l’impression qu’avec ce genre de choc, les États-Unis vont bientôt sombrer dans le chaos.
Aux États-Unis, le prix aurait été beaucoup plus élevé, mais les gains tirés de l’attaque auraient probablement été ajustés à un niveau encore supérieur.
Quelle que soit l’opinion qu’on a de Coinbase, leur réaction semble plutôt correcte.
Ils ne paient pas la rançon de 20 millions de dollars et mettent à la place une récompense de 20 millions de dollars pour toute information menant à l’arrestation et à la condamnation des responsables.
Le problème, c’est que le titre est « Protecting Our Customers - Standing Up to Extortionists », et que le communiqué est rédigé de manière à pousser les gens à les féliciter, alors qu’ils devraient s’excuser d’avoir laissé fuiter des informations personnelles.
C’est ce point qui me met vraiment en colère.
En plus, l’objet de l’e-mail que j’ai reçu était « important notice », et le fait que mon compte personnel était concerné se trouvait dans la troisième phrase d’un long paragraphe.
Rien de tout cela n’est correct, et cette entreprise ne donne pas l’impression de prendre l’affaire au sérieux.
Dans ce genre de moment, c’était aussi une bonne occasion de sortir brièvement du langage corporate et de dire quelque chose comme : « allez vous faire foutre, bande de hackers ! »
Même les gens qui vivent dans la Bible Belt savent reconnaître un juron bien placé.
Mettre aussi en place un programme de récompense, très bien, mais s’il s’agit de mes données, je suis davantage intéressé par le fait que Coinbase limite l’ampleur de la fuite que par un jeu de primes revanchard.
Il est vraiment regrettable que Coinbase ait dû détenir ce type d’informations au départ à cause des réglementations KYC.
Nous devrions établir une norme sociale forte consistant à ne pas partager d’informations personnelles identifiables sans bonne raison.
Ce n’est pas seulement un risque de vol pour les particuliers, c’est aussi un risque pour la sécurité nationale.
Coinbase ne cotise pas à mon compte Social Security, donc ils ne devraient pas avoir mon numéro de Social Security ; ils ne viennent pas chez moi, donc ils ne devraient pas avoir mon adresse.
Historiquement, les règles KYC étaient répandues dans les pays communistes, mais dans la plupart des démocraties, elles auraient été difficiles à imaginer avant le 11-Septembre.
Le 11-Septembre a donné aux services de renseignement l’occasion rêvée de faire inscrire dans la loi la liste de mesures qu’ils voulaient, et malheureusement cela aide aussi les services de renseignement étrangers, autant que les services nationaux, voire davantage.
On peut voir ici quand elles ont été introduites dans différents pays : https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...