Coinbase publie une chronologie suggérant que l’attaque a duré des mois avant que la faille ne soit reconnue

 (jonathanclark.com)
1 points par GN⁺ 2025-11-17 | 1 commentaires | Partager sur WhatsApp
  • En janvier 2025, un cas a révélé que les attaquants connaissaient déjà des données personnelles sensibles, dont le numéro de sécurité sociale et le solde en bitcoin
  • La victime a immédiatement transmis à l’équipe sécurité de Coinbase un rapport technique détaillé, mais n’a reçu aucune réponse sur les questions clés pendant les 4 mois suivants
  • Ce n’est qu’en mai que Coinbase a reconnu une fuite interne de données impliquant des employés du sous-traitant offshore TaskUs, et annoncé qu’environ 1 % des clients avaient été touchés, pour un impact pouvant atteindre 400 millions de dollars
  • L’analyse des en-têtes d’e-mail met en évidence une attaque à plusieurs niveaux, avec envoi usurpé via Amazon SES, utilisation d’un numéro Google Voice et attaque par SMS bomb
  • Le vide de 4 mois entre le signalement et la divulgation publique révèle des failles de surveillance et d’absence de réponse, et met en lumière le problème de confiance envers les plateformes d’échange centralisées

Vue d’ensemble de l’incident

  • Le 7 janvier 2025, la victime reçoit un e-mail intitulé « 2.93 ETH withdrawal request » puis un appel se faisant passer pour Coinbase
    • L’appelant connaissait des données non publiques, dont le numéro de sécurité sociale, le solde en bitcoin et les informations du permis de conduire
    • La victime a immédiatement signalé l’incident à l’équipe sécurité de Coinbase et fourni une analyse détaillée incluant les en-têtes d’e-mail, l’enregistrement audio et des informations sur l’attaquant
  • Brett Farmer, responsable Trust & Safety chez Coinbase, a répondu qu’il s’agissait d’« un signalement très solide », puis n’a plus répondu à aucune relance

Incohérences avec l’annonce officielle de Coinbase

  • Coinbase a déclaré n’avoir pris connaissance de la compromission que le 11 mai 2025, avant une divulgation publique le 15 mai
    • Les attaquants auraient corrompu des employés de TaskUs en Inde pour voler des données clients
    • Données exfiltrées : nom, adresse, numéro de téléphone, e-mail, 4 derniers chiffres du numéro de sécurité sociale, image d’une pièce d’identité officielle, soldes de compte et historique des transactions
    • L’ampleur serait estimée à moins de 1 % des clients pour des pertes de 180 à 400 millions de dollars
  • Pourtant, dès janvier, la victime avait déjà présenté des preuves que les attaquants avaient accès à des données internes, que Coinbase a ignorées

Détails de l’attaque

  • Usurpation d’e-mail :
    • L’adresse d’expédition affichée était commerce@coinbase.com, mais le serveur d’envoi réel était Amazon SES(a32-86.smtp-out.amazonses.com)
    • Les signatures DKIM pour coinbase.com et amazonses.com étaient toutes deux valides, renforçant l’apparence de légitimité
    • Le Return-Path était défini sur amazonses.com, ce qui suggère une possible usurpation
  • Escroquerie téléphonique :
    • Le numéro appelant, 1-805-885-0141, a été identifié comme un numéro Google Voice
    • Les attaquants ont tenté de pousser la victime à « déplacer ses actifs vers un cold wallet »
  • Attaque par SMS bomb :
    • Des centaines de SMS indésirables ont été reçus juste après l’appel
    • Il s’agirait d’une technique de bruit destinée à masquer ou provoquer des échanges autour des codes 2FA et des alertes de sécurité

Les problèmes mis en évidence chez Coinbase

  • Externalisation de tâches sensibles pour la sécurité : des contractuels offshore pouvaient accéder à des informations d’identité client et à des données de compte
  • Échec de détection de la compromission : alors que l’attaque était en cours depuis janvier, les systèmes internes de surveillance ne l’ont pas détectée avant mai
  • Signalements utilisateurs ignorés : aucune réponse pendant 4 mois aux rapports techniques et aux questions de la victime
  • Divulgation tardive : bien que l’attaque dure depuis des mois, la reconnaissance officielle n’est intervenue qu’après une demande de rançon

Conseils de sécurité pour les utilisateurs

  • Ne pas faire confiance au numéro de téléphone ou à l’identifiant de l’appelant, et toujours revérifier via le numéro présent sur le site officiel
  • Même si l’attaquant connaît vos données personnelles, ne lui faites pas confiance ; une authentification bidirectionnelle est nécessaire
  • Analyser les en-têtes d’e-mail pour vérifier le serveur émetteur ainsi que les résultats SPF et DKIM
  • Vérifier les numéros de rappel et confirmer l’identité via les procédures d’authentification dans l’application
  • Refuser toute demande pressante de transfert de fonds et préférer une 2FA basée sur une application plutôt que sur SMS
  • En cas d’attaque, la signaler immédiatement avec l’ensemble des informations techniques disponibles

Ce que signifie ce vide de 4 mois

  • La victime a remis en janvier des preuves de compromission et des enregistrements audio, mais Coinbase n’a pas réagi avant mai
  • Pendant cet intervalle, d’autres clients ont pu être exposés à la même attaque
  • Le silence de Coinbase met en évidence des défaillances structurelles du système d’alerte sécurité et des प्रक्रедures de réponse client
  • L’affaire symbolise les enjeux de confiance et de responsabilité des plateformes d’échange centralisées, la victime concluant que « ce silence a duré 120 jours »

Questions clés qui restent posées à Coinbase

  • À quel moment la fuite de données réelle s’est-elle produite ?
  • Quel a été le nombre de victimes entre janvier et mai, et comment les signalements ont-ils été traités ?
  • Quelles sont les causes de l’échec des contrôles d’accès internes et y a-t-il eu une réponse réglementaire ?
  • L’efficacité des mesures de sécurité renforcées mises en avant par Coinbase peut-elle être vérifiée ?

À lire aussi

1 commentaires

 
GN⁺ 2025-11-17
Avis Hacker News

  • Selon un article de Reuters daté du 2 juin, il est apparu que Coinbase savait depuis janvier qu’il y avait eu une fuite de données clients via un prestataire externe
    D’après un dépôt auprès de la SEC du 14 mai, Coinbase a reçu le 11 mai un e-mail d’un attaquant inconnu affirmant avoir obtenu des informations sur des comptes clients ainsi que des documents internes, y compris des éléments liés au service client et aux systèmes de gestion de comptes

    • J’ai signalé ce problème à Coinbase le 7 janvier. Le timing correspond exactement. Vu l’assurance affichée par l’employé à qui j’ai parlé, j’ai l’impression de ne pas avoir été le premier à le signaler
    • Le terme « prestataire externe » va sans doute devenir le sous-titre récurrent de ce genre d’articles à l’avenir

  • J’avais autrefois travaillé sur le réseau du coworking où Coinbase était installé, et le mot de passe administrateur était écrit sur un tableau blanc, visible même depuis le couloir
    Je l’ai signalé par e-mail et j’ai même facturé l’intervention, mais leur solution a été de recouvrir le mot de passe avec une feuille de papier. Quelle époque absurde

    • Envoyer une facture pour un service non sollicité, c’est le meilleur moyen de faire en sorte que personne ne prenne vos e-mails au sérieux
    • Ça n’a rien de surprenant. Tout le secteur du bitcoin et de la fintech est beaucoup trop imprudent

  • Il y a environ un mois, au Royaume-Uni, j’ai reçu un appel de quelqu’un prétendant être Coinbase
    Quand j’ai dit que je n’avais qu’environ 5 £ de Bitcoin Cash sur mon compte, il a immédiatement perdu tout intérêt et a dit qu’il traiterait ça par e-mail
    Il m’a demandé si j’avais du « cold storage », et j’ai répondu que j’avais un réfrigérateur. Ce qui était vrai

    • Haha, la prochaine fois que je recevrai un appel spam, je ressortirai aussi cette blague

  • Le titre de l’article est beaucoup trop putaclic
    En réalité, il ne s’agit que d’un enregistrement où un attaquant de phishing essaie d’obtenir des informations, pas d’une preuve que Coinbase connaissait déjà la fuite
    Le fait que l’auteur ait transmis les éléments à Coinbase ne signifie pas qu’ils avaient déjà connaissance de la breach

    • J’ai envoyé à Coinbase l’enregistrement de l’appel et les e-mails, et ils m’ont répondu : « ce signalement est très solide et mérite clairement une enquête ; nous sommes actuellement en train d’enquêter sur l’escroc »
    • On dirait que tu n’as pas vraiment lu l’article. Tout ce qu’il faut y comprendre s’y trouve déjà

  • Histoire intéressante, mais le fait que le texte ait été écrit par une IA m’a vraiment agacé. C’était pénible à lire

    • J’aimerais demander comment tu peux en être si sûr. Les LLM imitent la manière de parler des humains, mais cette manière de parler vient forcément du style de quelqu’un.
      Les schémas de langage actuels des LLM sont probablement le résultat de la copie des habitudes d’écriture de quelqu’un
    • Je ne sais pas si c’était écrit par une IA, mais ça répète sans cesse les mêmes choses. On aurait pu réduire le texte à un tiers sans rien perdre
    • Moi aussi, le ton “à la LinkedIn” typique de l’IA m’a agacé. La structure des phrases s’est améliorée, mais on retrouve toujours le dramatique excessif, les listes inutiles et des titres artificiels du style « The Call That Changed Everything »
      En particulier, une formule comme « The Timeline That Doesn’t Make Sense » ne correspond pas vraiment au contenu.
      Si une grande entreprise mène une enquête complexe, il est normal que l’annonce prenne du temps, mais l’IA ignore le contexte et conclut directement que « quelque chose cloche ».
      Ce type de jugement sans contexte me semble être le principal problème des textes générés par IA
    • Pour avancer ce genre d’affirmation, il faut des éléments concrets

  • C’est difficile de considérer cela comme une preuve
    L’auteur a simplement reçu un appel de phishing et l’a signalé à Coinbase. Coinbase reçoit des centaines de signalements de phishing chaque jour
    Les informations que l’attaquant possédait pouvaient venir d’une autre fuite de données. Il est aussi tout à fait possible que le client ait exposé ses informations de compte par erreur

    • Au début, j’ai cru qu’ils avaient relié les transactions blockchain à mon nom pour me tracer.
      Mais l’attaquant connaissait aussi mes soldes ETH et BTC ainsi que la date de création du compte.
      La date de création peut peut-être être déduite, mais connaître en même temps le solde des deux monnaies semble impossible sans informations internes à Coinbase

  • La chronologie est intéressante, mais ce cas isolé ne suffit pas à conclure que Coinbase avait conscience de la fuite
    Les malwares de type screen scraping sont courants, et du point de vue d’un analyste, il est naturel de penser à une infection côté client
    En pratique, il arrive souvent que des clients se fassent pirater puis rejettent la faute sur l’entreprise

    • Mais après que j’ai envoyé l’enregistrement de l’appel et même les en-têtes d’e-mail, le responsable Trust & Safety de Coinbase m’a répondu en personne : « ce signalement est très solide. Nous enquêtons actuellement sur l’arnaqueur »

  • J’ai moi aussi détecté des signes de piratage chez Coinbase à peu près à la même période
    Même une clé d’API Discord avait fuité et n’a été réinitialisée qu’en avril-mai.
    Cela semble indiquer que même le secrets manager central a été compromis

  • Notre organisation utilise aussi Coinbase, et nous avons subi une tentative d’attaque début février 2025
    Heureusement, notre gestionnaire de compte était particulièrement méfiant et a vérifié directement via les coordonnées officielles de l’autre organisation, ce qui a permis d’éviter tout dommage