Coinbase publie une chronologie suggérant que l’attaque a duré des mois avant que la faille ne soit reconnue

 (jonathanclark.com)
1 points par GN⁺ 2025-11-17 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • En janvier 2025, un cas a révélé que les attaquants connaissaient déjà des données personnelles sensibles, dont le numéro de sécurité sociale et le solde en bitcoin
  • La victime a immédiatement transmis à l’équipe sécurité de Coinbase un rapport technique détaillé, mais n’a reçu aucune réponse sur les questions clés pendant les 4 mois suivants
  • Ce n’est qu’en mai que Coinbase a reconnu une fuite interne de données impliquant des employés du sous-traitant offshore TaskUs, et annoncé qu’environ 1 % des clients avaient été touchés, pour un impact pouvant atteindre 400 millions de dollars
  • L’analyse des en-têtes d’e-mail met en évidence une attaque à plusieurs niveaux, avec envoi usurpé via Amazon SES, utilisation d’un numéro Google Voice et attaque par SMS bomb
  • Le vide de 4 mois entre le signalement et la divulgation publique révèle des failles de surveillance et d’absence de réponse, et met en lumière le problème de confiance envers les plateformes d’échange centralisées

Vue d’ensemble de l’incident

  • Le 7 janvier 2025, la victime reçoit un e-mail intitulé « 2.93 ETH withdrawal request » puis un appel se faisant passer pour Coinbase
    • L’appelant connaissait des données non publiques, dont le numéro de sécurité sociale, le solde en bitcoin et les informations du permis de conduire
    • La victime a immédiatement signalé l’incident à l’équipe sécurité de Coinbase et fourni une analyse détaillée incluant les en-têtes d’e-mail, l’enregistrement audio et des informations sur l’attaquant
  • Brett Farmer, responsable Trust & Safety chez Coinbase, a répondu qu’il s’agissait d’« un signalement très solide », puis n’a plus répondu à aucune relance

Incohérences avec l’annonce officielle de Coinbase

  • Coinbase a déclaré n’avoir pris connaissance de la compromission que le 11 mai 2025, avant une divulgation publique le 15 mai
    • Les attaquants auraient corrompu des employés de TaskUs en Inde pour voler des données clients
    • Données exfiltrées : nom, adresse, numéro de téléphone, e-mail, 4 derniers chiffres du numéro de sécurité sociale, image d’une pièce d’identité officielle, soldes de compte et historique des transactions
    • L’ampleur serait estimée à moins de 1 % des clients pour des pertes de 180 à 400 millions de dollars
  • Pourtant, dès janvier, la victime avait déjà présenté des preuves que les attaquants avaient accès à des données internes, que Coinbase a ignorées

Détails de l’attaque

  • Usurpation d’e-mail :
    • L’adresse d’expédition affichée était commerce@coinbase.com, mais le serveur d’envoi réel était Amazon SES(a32-86.smtp-out.amazonses.com)
    • Les signatures DKIM pour coinbase.com et amazonses.com étaient toutes deux valides, renforçant l’apparence de légitimité
    • Le Return-Path était défini sur amazonses.com, ce qui suggère une possible usurpation
  • Escroquerie téléphonique :
    • Le numéro appelant, 1-805-885-0141, a été identifié comme un numéro Google Voice
    • Les attaquants ont tenté de pousser la victime à « déplacer ses actifs vers un cold wallet »
  • Attaque par SMS bomb :
    • Des centaines de SMS indésirables ont été reçus juste après l’appel
    • Il s’agirait d’une technique de bruit destinée à masquer ou provoquer des échanges autour des codes 2FA et des alertes de sécurité

Les problèmes mis en évidence chez Coinbase

  • Externalisation de tâches sensibles pour la sécurité : des contractuels offshore pouvaient accéder à des informations d’identité client et à des données de compte
  • Échec de détection de la compromission : alors que l’attaque était en cours depuis janvier, les systèmes internes de surveillance ne l’ont pas détectée avant mai
  • Signalements utilisateurs ignorés : aucune réponse pendant 4 mois aux rapports techniques et aux questions de la victime
  • Divulgation tardive : bien que l’attaque dure depuis des mois, la reconnaissance officielle n’est intervenue qu’après une demande de rançon

Conseils de sécurité pour les utilisateurs

  • Ne pas faire confiance au numéro de téléphone ou à l’identifiant de l’appelant, et toujours revérifier via le numéro présent sur le site officiel
  • Même si l’attaquant connaît vos données personnelles, ne lui faites pas confiance ; une authentification bidirectionnelle est nécessaire
  • Analyser les en-têtes d’e-mail pour vérifier le serveur émetteur ainsi que les résultats SPF et DKIM
  • Vérifier les numéros de rappel et confirmer l’identité via les procédures d’authentification dans l’application
  • Refuser toute demande pressante de transfert de fonds et préférer une 2FA basée sur une application plutôt que sur SMS
  • En cas d’attaque, la signaler immédiatement avec l’ensemble des informations techniques disponibles

Ce que signifie ce vide de 4 mois

  • La victime a remis en janvier des preuves de compromission et des enregistrements audio, mais Coinbase n’a pas réagi avant mai
  • Pendant cet intervalle, d’autres clients ont pu être exposés à la même attaque
  • Le silence de Coinbase met en évidence des défaillances structurelles du système d’alerte sécurité et des प्रक्रедures de réponse client
  • L’affaire symbolise les enjeux de confiance et de responsabilité des plateformes d’échange centralisées, la victime concluant que « ce silence a duré 120 jours »

Questions clés qui restent posées à Coinbase

  • À quel moment la fuite de données réelle s’est-elle produite ?
  • Quel a été le nombre de victimes entre janvier et mai, et comment les signalements ont-ils été traités ?
  • Quelles sont les causes de l’échec des contrôles d’accès internes et y a-t-il eu une réponse réglementaire ?
  • L’efficacité des mesures de sécurité renforcées mises en avant par Coinbase peut-elle être vérifiée ?

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.