Coinbase : des hackers corrompent des employés, volent des données clients puis réclament une rançon de 20 millions de dollars

 (cnbc.com)
1 points par GN⁺ 2025-05-16 | 1 commentaires | Partager sur WhatsApp
  • Coinbase a été victime d’un groupe de hackers ayant corrompu des employés et exfiltré des données clients
  • Les hackers ont dérobé des informations clients avant de réclamer une rançon de 20 millions de dollars
  • Une menace de sécurité sans précédent a été confirmée, avec des employés internes collaborant avec les hackers
  • Cet incident remet en lumière l’importance de la gestion du risque interne dans les secteurs des plateformes d’échange et de la fintech
  • Des mesures d’urgence et de protection des clients sont en cours de déploiement pour limiter l’ampleur des dommages

À lire aussi

1 commentaires

 
GN⁺ 2025-05-16
Avis Hacker News

  • Je reçois régulièrement des appels de spear phishing très sophistiqués. Ils utilisent la méthode classique en prétendant que je dois vérifier une transaction suspecte. Ils parlent un anglais américain impeccable, ont une voix très avenante, et semblent même connaître le solde de mon compte. J’ai tout de suite compris dès le premier appel que c’était une arnaque, et depuis je suis tranquille grâce à la fonction de filtrage d’appels de Google. J’aimerais presque transférer ce genre d’appels à Kitboga. Ils ont d’abord essayé d’arnaquer des clients de Coinbase, puis ont fini par tenter de faire chanter Coinbase lui-même

    • Si vous avez déjà eu pas mal d’actifs chez Coinbase, le spear phishing est le cadet de vos soucis. Coinbase a divulgué non seulement les noms et adresses, mais aussi les soldes, l’historique des transactions et des images de pièces d’identité. Beaucoup de gens se font réellement attaquer dans la rue ou chez eux, certains vont même jusqu’à voir leur famille kidnappée. Même moins de 10 000 dollars sont considérés comme un montant "important". Jusqu’ici, la meilleure défense était la discrétion, mais grâce à Coinbase, même ça a disparu. Des personnes mal intentionnées peuvent savoir qui a détenu de grosses sommes sur Coinbase, qui a encaissé, et retrouver facilement des informations sur la famille ou des cibles potentielles. Même si Coinbase avait l’obligation d’indemniser tous les préjudices causés, l’entreprise ferait faillite si elle le faisait

    • Je suis passé de Pixel à iPhone, et le nombre d’appels indésirables me sidère. Je me demande comment on gère ça sur iPhone

    • Je me demande depuis combien de temps les appels de spear phishing augmentent. Je ne crois pas à l’argument de Coinbase selon lequel cette attaque relèverait d’un problème systémique

    • Je reçois sans arrêt des SMS de code de connexion Coinbase alors qu’aucune tentative n’a eu lieu. Pareil pour mon compte Microsoft. J’imagine que quelqu’un teste si mon e-mail peut être utilisé pour se connecter

    • Je me demande d’où vient le numéro appelant. Je reçois beaucoup d’appels de phishing, mais je ne réponds jamais aux numéros inconnus. Grâce au call screen de Google, ils raccrochent à chaque fois. Donc je suis sûr que c’est une arnaque

    • Avec l’IA, les arnaques deviennent encore plus sophistiquées. Les fautes d’orthographe ont aussi largement disparu. J’ai récemment regardé un e-mail de phishing par curiosité, et j’y ai repéré des caractères Unicode étranges dans une partie mal traduite. Ce n’est pas encore parfait, mais c’est de plus en plus rusé

    • J’en ai reçu trois ou quatre rien que la semaine dernière

    • Je me demande si cet accent parfait n’est pas dû au machine learning

    • Le fait qu’ils parlent un anglais parfait et connaissent même le solde du compte me fait penser à d’anciens employés de Coinbase

    • J’ai l’amère impression que ça ne s’arrêtera jamais, et qu’on en est arrivé à un point où l’élément criminel est devenu du capitalisme légal

  • Le problème souligné ici est que les données divulguées semblent être les mêmes que celles utilisées pour la récupération de compte. Autrement dit, si vous perdez l’accès à votre compte à cause d’une erreur de votre part ou d’un problème côté Coinbase, le processus de récupération n’est plus simple du tout. Un hacker pourrait aussi tenter une récupération de compte avec les données compromises. La solution proposée est qu’il faudrait des agences physiques prenant en charge la récupération de compte dans le monde réel. Sur place, on peut arrêter et poursuivre les criminels. Cela constitue une barrière importante pour les criminels basés à l’étranger. La solution la plus fiable reste une authentification à deux facteurs matérielle comme Yubikey

    • Le secteur des cryptomonnaies redécouvre très vite pourquoi le système financier traditionnel existe. Le bureau physique dont il est question correspond à ce que beaucoup de partisans des cryptos appellent une "banque"

    • S’il existe un historique de dépôts et retraits directement depuis son propre wallet, un moyen de récupération fiable consiste aussi à envoyer à Coinbase une adresse enregistrée accompagnée d’un message signé avec cette clé. L’essence même de la crypto est une autre forme de PKI

    • Si des agences physiques existaient, cela voudrait aussi dire qu’en cas de blocage d’accès au compte, même sans faute de l’utilisateur, par exemple parce que le système détecte trop agressivement un risque, il faudrait parfois se déplacer loin, dans une autre ville. Les personnes bloquées seraient alors très mécontentes

    • Si quelqu’un est assez à l’aise techniquement pour utiliser une Yubikey, il achètera sans doute directement un hardware wallet et assurera lui-même la conservation

    • Si Coinbase a besoin d’agences physiques, cela signifie simplement que c’est une banque

    • Même si l’authentification matérielle à deux facteurs (Yubikey) est la seule solution, si on la perd, on retombe de toute façon sur le problème de la récupération de compte

    • Dire que Coinbase a besoin d’agences physiques, c’est censé être ironique ?

  • J’ai demandé au support client de Coinbase si j’étais affecté par ce piratage. Après être passé par le chatbot IA puis avoir été mis en relation avec un vrai agent, ils n’étaient même pas au courant du piratage. J’ai eu l’impression d’être la première personne à leur en parler

    • Un e-mail a été envoyé aux comptes affectés. J’étais l’un des utilisateurs concernés

    • Il est possible que le premier client soit simplement tombé sur un agent paresseux

    • J’ai déjà eu un agent qui s’est contenté de lire sa phrase de script : « Je ne savais pas, c’est la première fois qu’on m’en parle »

  • On sent que Coinbase essaie de prendre ses distances avec ces "employés support voyous" basés à l’étranger. Mais s’il s’agissait réellement d’employés ou de sous-traitants de Coinbase, alors l’entreprise a en pratique vendu elle-même les données aux hackers. Indemniser les clients victimes de fraude paraît être le minimum. Mais si des gens ont réellement dû déménager, changer de banque ou d’adresse e-mail, voire embaucher des agents de sécurité, je me demande s’ils peuvent aussi facturer ces coûts à l’entreprise

    • Si un employé a violé la politique de l’entreprise ou a extrait illégalement des données confidentielles pour les remettre à des hackers, il est difficile d’affirmer que "l’entreprise a vendu les données"

  • Partage de ce qui est mentionné sur le blog officiel de Coinbase : les clients qui ont transféré des fonds en se faisant piéger seront indemnisés, et les clients dont les informations ont été exposées ont déjà reçu un e-mail le 15 mai à 7 h 20 (heure de l’Est)

    • Le choix d’une adresse e-mail no-reply est frappant. Coinbase met en avant la centralisation et le service client comme grands avantages, mais cela montre aussi que ce sont précisément ces points qui rendent possibles les attaques par ingénierie sociale

    • Je me demande pourquoi les comptes Coinbase Prime ne font pas partie du périmètre de la fuite. Est-ce qu’ils bénéficient de protections particulières, ou bien les escrocs s’y intéressaient simplement moins ?

  • À cause des lois KYC (Know Your Customer) imposées par le gouvernement, Coinbase est obligé de conserver bien plus d’informations sensibles que ce qui serait nécessaire pour une simple authentification. Le vol de photos de pièces d’identité est la faute du gouvernement, et le problème vient aussi bien des criminels que des employés internes qui pourraient faire n’importe quoi de ces données

    • Le KYC a des raisons d’être en soi. Le problème, ce n’est pas la réglementation publique, mais les entreprises privées qui gèrent mal les données clients. Plus elles les protègent mal, moins cela leur coûte, et comme ce ne sont pas leurs propres données, elles ont peu d’incitation à les sécuriser. Sans contrainte, elles ne le feront pas

    • Dire que le KYC les oblige à conserver ces informations sensibles en permanence, c’est une excuse. Il faut être honnête sur la vraie question : pourquoi tous les agents du support ont-ils un accès permanent aux documents d’identité ?

  • Je trouve la réponse de Coinbase plutôt correcte : ne surtout pas payer la rançon de 20 millions de dollars, et à la place créer un fonds de récompense de 20 millions pour toute information permettant d’arrêter les responsables

    • C’est la même méthode que dans le film Ransom de 1996

    • Du point de vue des clients, le plus important est de payer pour limiter la diffusion des données. Créer en plus un fonds de récompense est bien, mais la priorité immédiate devrait être la protection des données

    • J’aime bien cette manière de répondre. Dans un moment comme ça, je pense que beaucoup de gens adhéreraient à un message fort du genre « allez vous faire voir, bande de hackers ! » plutôt qu’à une communication d’entreprise trop rigide

  • Ils disent seulement avoir recruté des "employés support étrangers voyous". Ils n’expliquent ni dans quel pays, ni pourquoi ils les ont embauchés au départ. Il est étonnant qu’une entreprise qui réalise déjà des milliards de dollars de chiffre d’affaires n’ait même pas su recruter et contrôler correctement son personnel

  • Concernant la mise en place d’un "fonds de récompense de 20 millions de dollars", je critique habituellement l’industrie crypto, mais pour une fois je leur donne du crédit. J’espère qu’ils verseront vraiment la récompense

    • Blague sur le fait qu’ils pourraient payer cette récompense en cryptomonnaie

  • J’ai une impression de déjà-vu. Si Coinbase n’a compris qu’il y avait quelque chose d’anormal qu’au moment où les hackers ont demandé de l’argent, on peut se demander s’ils ne tenaient même pas de journaux d’accès employés. Je me demande s’ils ont au moins un moyen minimal de traçabilité des responsabilités en interne. On pourrait pourtant mettre en place simplement un système de suivi des accès et bloquer immédiatement les comportements anormaux ou les employés malveillants. Je serais curieux de voir à quoi ressembleront les indemnités de départ des dirigeants après cette affaire

    • D’après le blog officiel, des employés du support client ont monnayé auprès des attaquants des données sensibles auxquelles ils avaient déjà accès. Les hackers n’ont pas accédé eux-mêmes aux comptes

    • J’ai déjà dû ajouter plusieurs couches de sécurité à des panneaux d’administration internes à cause du recrutement d’employés hors des États-Unis (journalisation, surveillance, approbation administrateur, etc.). Le secteur des cartes bancaires impose des exigences de protection des données extrêmement strictes via la norme PCI-DSS. L’industrie crypto semble avoir une culture de la sécurité relativement plus faible à cause de l’absence de telles règles

    • À minima, il faut des logs et des audits a posteriori. Il n’est pas déraisonnable d’exiger des agents du support des informations de vérification que le client ne peut pas facilement connaître lui-même. Quant aux cas où le client est réellement bloqué dehors, ils pourraient être traités par un très petit nombre d’employés soumis à des contrôles beaucoup plus stricts. Même une statistique disant que moins de 1 % des utilisateurs mensuels ont été concernés me semble déjà représenter un volume énorme