Coinbase: Hacker bestachen Mitarbeiter, stahlen Kundendaten und fordern 20 Millionen Dollar Lösegeld
(cnbc.com)- Coinbase hat einen Vorfall offengelegt, bei dem im Ausland tätige Support-Mitarbeiter bestochen wurden und dadurch Kundendaten abflossen; die Angreifer wollten diese für Social-Engineering-Angriffe nutzen, und die Kosten für die Bewältigung des Vorfalls werden auf bis zu 400 Millionen Dollar geschätzt
- Die Angreifer behaupteten, am 11. Mai Informationen zu einigen Kundenkonten und interne Dokumente erlangt zu haben, und forderten 20 Millionen Dollar dafür, diese nicht zu veröffentlichen
- Zu den geleakten Daten gehörten Namen, Kontaktdaten, maskierte Bankkontoinformationen, Ausweisbilder und Kontostände, doch Passwörter, private Schlüssel und Gelder wurden nicht offengelegt, und Coinbase-Prime-Konten waren ebenfalls nicht betroffen
- Coinbase verweigert die Zahlung des Lösegelds, arbeitet mit Strafverfolgungsbehörden zusammen, hat beteiligte Mitarbeiter entlassen, potenziell betroffene Kunden gewarnt und den Schutz durch Betrugsüberwachung verstärkt
- Das Unternehmen hat eine Belohnung von 20 Millionen Dollar für Informationen ausgesetzt, die zur Festnahme und Verurteilung der Verantwortlichen führen, und erklärt, Kunden zu entschädigen, die durch die Täuschung der Angreifer Geld verloren haben
Datendiebstahl durch Bestechung von Support-Personal im Ausland
- Laut Coinbase bestachen Cyberkriminelle Support-Agenten im Ausland, um Kundendaten zu stehlen, und wollten diese Daten für Social-Engineering-Angriffe verwenden
- Die Kosten für die Bewältigung des Vorfalls könnten sich auf bis zu 400 Millionen Dollar belaufen
- Die Coinbase-Aktie fiel im Vormittagshandel um mehr als 6 %
Forderung über 20 Millionen Dollar und die Reaktion von Coinbase
- Coinbase erhielt am 11. Mai eine E-Mail von Personen, die behaupteten, Informationen zu einigen Kundenkonten und interne Dokumente erlangt zu haben
- Das Unternehmen meldete in einer SEC-Einreichung, dass die internen Dokumente Materialien zu Kundenservice- und Kontoverwaltungssystemen enthielten
- Die Angreifer forderten 20 Millionen Dollar dafür, die Informationen nicht zu veröffentlichen
- Coinbase zahlt das Lösegeld nicht und untersucht den Vorfall gemeinsam mit Strafverfolgungsbehörden
- In einem Blogbeitrag erklärte das Unternehmen, die Forderung abzulehnen und stattdessen eine Belohnung von 20 Millionen Dollar für Informationen bereitzustellen, die zur Festnahme und Verurteilung der Kriminellen führen
Offengelegte Informationen und Umfang der Auswirkungen
- Zu den betroffenen Daten gehörten sensible Kundeninformationen
- Namen, Adressen, Telefonnummern, E-Mail-Adressen
- Maskierte Bankkontonummern und Identifikatoren
- Die letzten 4 Ziffern der Social-Security-Nummer
- Bilder amtlicher Ausweisdokumente
- Kontostände
- Passwörter, private Schlüssel und Gelder wurden nicht offengelegt
- Coinbase-Prime-Konten waren nicht betroffen
- Kunden, die den Angreifern Geld überwiesen haben, sollen entschädigt werden
Missbrauch interner Zugriffe und frühzeitige Erkennung
- Die Angreifer bestachen Mitarbeiter in Support-Rollen und externe Kräfte im Ausland, um an Informationen zu gelangen
- Die bestochenen Insider missbrauchten ihren Zugriff auf Kundensupport-Systeme, um Daten einiger Kundenkonten zu stehlen
- Coinbase hatte den Vorfall in den vorangegangenen Monaten eigenständig entdeckt und die beteiligten Mitarbeiter umgehend entlassen
- Das Unternehmen warnte Kunden, die möglicherweise von einem Informationszugriff betroffen waren, und verstärkte den Schutz durch Betrugsüberwachung
Jüngste Geschäftsentwicklung von Coinbase
- Coinbase betreibt die größte Kryptowährungsbörse der USA
- In der vergangenen Woche kündigte das Unternehmen eine Übernahme an, die voraussichtlich der globalen Expansion helfen wird, und bestätigte zudem die Aufnahme in den S&P 500, die ab nächster Woche wirksam wird
- In der Conference Call zur Ergebnisbekanntgabe vergangene Woche sagte CEO Brian Armstrong, sein Ziel sei es, Coinbase in den nächsten 5 bis 10 Jahren zur weltweit führenden App für Finanzdienstleistungen zu machen
1 Kommentare
Meinungen auf Hacker News
Link zur ursprünglichen SEC-Meldung: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
Ich bekomme ständig Spear-Phishing-Anrufe von dieser Seite oder von jemandem, der die geleakten Daten gekauft hat.
Es ist die typische Masche, angeblich eine möglicherweise betrügerische Transaktion bestätigen zu müssen; sie sprechen perfektes Englisch mit US-Akzent, klingen sehr freundlich und kennen sogar den Kontostand.
Zum Glück habe ich schon beim ersten Anruf sofort erkannt, dass es Betrug ist, und den Rest blockt Googles Anruf-Screening ziemlich gut ab.
Wenn möglich, würde ich sie gern an Kitboga weiterleiten: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase hat nicht nur Namen und Adressen herausgegeben, sondern auch Kontostände, Transaktionshistorien und Bilder amtlicher Ausweise; Menschen mit großen Kryptobeständen werden auf der Straße oder zu Hause angegriffen, oder Familienmitglieder werden gegen Lösegeld entführt.
„Groß“ kann hier auch 10.000 Dollar oder weniger bedeuten.
Die beste Verteidigung war bisher Geheimhaltung: öffentlich nicht in einer Weise über Krypto sprechen, die mit dem echten Namen verknüpft werden kann. Dank Coinbase ist diese Verteidigungslinie nun weg.
Kriminelle können sehen, wer bei Coinbase jemals einen nennenswerten Kontostand hatte, ob und in welcher Höhe er ausgezahlt wurde und ob Tokens in eine eigene Wallet außerhalb der Börse transferiert wurden.
Jetzt wissen sie, wer eine Entführung wert ist und wo diese Person wohnt; wenn man Namen und Wohnadresse googelt, findet man meist auch die Namen von Familienmitgliedern, die für Drohungen oder Entführungen infrage kommen.
Coinbase wird wohl nicht gezwungen werden, die tatsächlichen Schadenskosten vollständig zu ersetzen; diese Kosten wären hoch genug, um das Unternehmen in die Insolvenz zu treiben.
Ich frage mich, wie iPhone-Nutzer damit umgehen.
Bei meinem Microsoft-Konto ist es genauso.
Normalerweise ignoriere ich sie einfach, aber es wirkt so, als würde jemand testen, ob er sich mit meiner E-Mail einloggen kann.
Die Erklärung, Coinbase habe das nicht als systemisches Problem erkannt, bis es von einem „Cyberkriminellen“ kontaktiert wurde, ist schwer zu glauben.
Vor Kurzem habe ich mir aus Neugier eine Phishing-Mail angesehen und bemerkt, dass ein seltsames Unicode-Zeichen falsch übersetzt worden war; ich habe es sofort als Spur einer miserablen Übersetzung erkannt.
Nicht perfekt, aber ziemlich gut gemacht.
Das Problem ist, dass die geleakten Daten wie Daten aussehen, die für Account Recovery verwendet werden.
Das heißt: Wenn man den Zugriff auf sein Konto verliert, egal ob durch eigenen Fehler oder durch einen Fehler von Coinbase, ist der Wiederherstellungsprozess möglicherweise nicht mehr einfach; Hacker könnten diese geleakten Informationen außerdem nutzen, um zu versuchen, Accounts „wiederherzustellen“.
Coinbase braucht Offline-Filialen. Es sollte Orte geben, an denen Dinge wie Account Recovery persönlich erledigt werden können und an denen man Personen fassen und strafrechtlich verfolgen kann, die Geld stehlen wollen; das wäre auch eine große Hürde für Diebe, die meist aus dem Ausland agieren.
Die einzige Lösung hier ist Hardware-2FA wie YubiKey.
Was gerade beschrieben wurde, ist im Grunde das, was viele Kryptobefürworter eine Bank nennen würden.
Krypto ist schließlich eine weitere Public-Key-Infrastruktur.
Ich habe den Coinbase-Kundensupport kontaktiert, um herauszufinden, ob ich betroffen bin.
Nachdem ich Zeit mit einem AI-Bot verschwendet hatte, wurde ich zu einem Menschen weitergeleitet; diese Person wusste nichts von dem Leak, und ich war der Erste, der sie darüber informierte.
Quelle: Ich bin betroffen.
Der Grund, warum Coinbase weit mehr sensible Informationen speichern musste, als für Identitätsprüfung und Authentifizierung nötig wäre, ist Know Your Customer.
Dass Passfotos gestohlen wurden und Kriminelle oder böswillige Coinbase-Mitarbeiter mit diesen Informationen machen können, was sie wollen, ist zum Teil der Regierung zu verdanken.
Das Problem hier ist nicht staatliche Regulierung, sondern dass ein Privatunternehmen fahrlässig mit Kundendaten umgeht.
Schlampig zu sein ist billig, und da die gefährdeten Informationen nicht dem Unternehmen, sondern den Kunden gehören, gibt es wenig Anreiz, sie ordentlich zu schützen, solange das nicht gesetzlich erzwungen wird.
Man muss ehrlich erklären, warum jeder Support-Mitarbeiter dauerhaft Zugriff auf Identifikationsdokumente haben sollte.
Diese Dokumente werden nur für Know Your Customer benötigt.
Coinbase scheint ziemlich bemüht zu sein, sich von den sogenannten „böswilligen Support-Mitarbeitern im Ausland“ zu distanzieren.
Wenn es Coinbase-Mitarbeiter oder Auftragnehmer waren, hat das Unternehmen seine Daten faktisch an Hacker verkauft, die dann erneut Lösegeld verlangten.
Kunden zu entschädigen, die durch Täuschung Geld überwiesen haben, ist sinnvoll, denn die rechtliche Argumentation, dass Coinbase’ Verhalten zu den Verlusten geführt hat, wirkt ziemlich klar.
Spannender ist die Frage, ob jemand in einem Verfahren gewinnen könnte, der glaubt, umziehen, die Bank wechseln, die E-Mail-Adresse ändern oder Sicherheitspersonal engagieren zu müssen, und diese Kosten teilweise oder vollständig vom Unternehmen ersetzt haben will.
Wenn Mitarbeiter eines Unternehmens gegen Richtlinien verstoßen und wahrscheinlich illegal interne Unternehmensdaten entwendet und gegen Geld an Hacker weitergegeben haben, ist es schwer zu sagen: „Unser Unternehmen hat die Daten verkauft.“
Coinbase-Blogbeitrag: https://www.coinbase.com/blog/protecting-our-customers-stand...
Darin heißt es, man werde Kunden entschädigen, die durch Social-Engineering-Angriffe dazu verleitet wurden, Geld an die Angreifer zu schicken; Kunden, auf deren Daten zugegriffen wurde, habe man bereits von no-reply@info.coinbase.com aus per E-Mail benachrichtigt.
Alle Benachrichtigungen an betroffene Kunden seien am 15.5. um 7:20 Uhr Eastern Time verschickt worden.
Ich verstehe, dass es schwierig ist, ein Unternehmen wie Coinbase zu betreiben, aber Zentralisierung und Kundensupport – die größten Stärken – sind zugleich genau die Faktoren, die solches Social Engineering ermöglichen. Deshalb wirkt die Wahl etwas merkwürdig.
Ich weiß nicht, ob es hinter der Paywall von Coinbase Prime eine zusätzliche Datenschutzschicht gibt oder ob man diese Nutzer absichtlich gemieden hat, weil sie wahrscheinlich erfahrener sind.
Laut Beschreibung des Leaks scheinen die Angreifer mehrere Auftragnehmer oder Mitarbeiter im Support außerhalb der USA bezahlt zu haben, damit diese Informationen aus internen Coinbase-Systemen zusammentragen, auf die sie beruflich Zugriff hatten.
Nach den geleakten Informationen zu urteilen, ist die Quelle höchstwahrscheinlich der Kundensupport auf den Philippinen.
Die Monatsgehälter liegen dort meist unter 1.000 Dollar, Einsteiger können sogar unter 500 Dollar verdienen; ein Bestechungsgeld von 5.000 Dollar kann also steuerfrei mehr als ein Jahresgehalt ausmachen.
Gemessen daran, wie viel sich mit diesem Datensatz verdienen lässt, ist das eine kleine Investition.
Geleakt wurden Namen, Adressen, Telefonnummern, E-Mail-Adressen, die letzten vier Stellen maskierter Social-Security-Nummern, maskierte Bankkontonummern und einige Bankkennungen, Bilder staatlicher Ausweise wie Führerschein oder Reisepass, Snapshots von Kontoständen und Transaktionshistorien sowie einige Unternehmensdokumente, Schulungsmaterialien und Kommunikationsdaten, die Supportmitarbeiter einsehen konnten.
Das sind die Daten, von denen jeder Angreifer träumt; schon E-Mail-Adresse und Kontostand allein sind ein Albtraum.
Statt das Unternehmen zu erpressen, kann man jeden Nutzer direkt erpressen: „Schick 50 % deiner BTC, dann veröffentlichen wir nicht all deine Informationen im Internet.“
Es dürfte auf eine ähnliche Situation wie beim Vastaamo-Datenleck hinauslaufen: https://en.wikipedia.org/wiki/Vastaamo_data_breach
In Frankreich gab es seit Anfang dieses Jahres mindestens fünf Fälle von Entführungen und versuchten Entführungen im Zusammenhang mit Krypto-Investoren.
US-Unternehmen lagern Kundensupport auf die Philippinen aus und zahlen dafür 3 bis 6 Dollar pro Stunde.
Die Dienstleister, die diese Services erbringen, haben eine extrem hohe Fluktuation; bei manchen Unternehmen liegt die durchschnittliche Betriebszugehörigkeit der Mitarbeiter bei etwa sechs Monaten.
Es gibt keinerlei Grund zur Loyalität.
Im Gegenteil, es geht in die entgegengesetzte Richtung.
Ich glaube, solche Schocks werden die USA in nicht allzu ferner Zukunft ins Chaos stürzen.
In den USA wäre der Preis viel höher gewesen, aber die Gewinne aus dem Angriff wären vermutlich ebenfalls entsprechend größer angesetzt worden.
Wie man auch zu Coinbase steht, diese Reaktion wirkt ziemlich ordentlich.
Statt 20 Millionen Dollar Lösegeld zu zahlen, setzen sie 20 Millionen Dollar Belohnung für Informationen aus, die zur Festnahme und Verurteilung der Verantwortlichen führen.
Der Titel lautet „Protecting Our Customers - Standing Up to Extortionists“, obwohl sie sich eigentlich dafür entschuldigen müssten, persönliche Daten geleakt zu haben. Das Problem ist, dass die Mitteilung so geschrieben ist, dass Leute sie dafür loben.
Genau das macht mich wirklich wütend.
Außerdem lautete der Betreff der E-Mail, die ich erhalten habe, „important notice“, und dass mein persönliches Konto betroffen war, stand erst im dritten Satz eines langatmigen Absatzes.
Nichts daran ist in Ordnung, und das zeigt nicht, dass dieses Unternehmen die Sache ernst nimmt.
Solche Momente sind auch eine gute Gelegenheit, kurz aus der Unternehmenssprache auszubrechen und so etwas zu sagen wie: „Verpisst euch, ihr Hacker!“
Selbst Leute aus dem Bible Belt akzeptieren ein gut getimtes Schimpfwort.
Ein Belohnungsprogramm obendrauf wäre gut, aber wenn es um meine Daten ginge, wäre mir wichtiger, dass Coinbase den Umfang des Leaks begrenzt, statt ein rachsüchtiges Kopfgeldspiel zu spielen.
Dass Coinbase solche Informationen überhaupt haben musste, liegt an den Know-your-Customer-Regulierungen, und das ist wirklich bedauerlich.
Wir sollten eine starke gesellschaftliche Norm etablieren, personenbezogene Daten nicht ohne guten Grund weiterzugeben.
Das ist nicht nur ein Risiko für persönlichen Diebstahl, sondern auch ein Risiko für die nationale Sicherheit.
Da Coinbase nicht in mein Social-Security-Konto einzahlt, sollte es meine Social-Security-Nummer nicht haben; und da Coinbase mich nicht zu Hause besucht, sollte es meine Adresse nicht haben.
Historisch waren Know-your-Customer-Regulierungen in kommunistischen Staaten weit verbreitet, in den meisten Demokratien vor dem 11. September aber kaum vorstellbar.
9/11 bot den Nachrichtendiensten die perfekte Gelegenheit, ihre Wunschliste in Gesetzesform zu bringen, und leider hilft das ausländischen Nachrichtendiensten genauso wie den inländischen – vielleicht sogar noch mehr.
Wann sie in verschiedenen Ländern eingeführt wurden, kann man hier sehen: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...