Coinbase: Hacker bestachen Mitarbeiter, stahlen Kundendaten und forderten 20 Millionen Dollar Lösegeld

 (cnbc.com)
1 Punkte von GN⁺ 2025-05-16 | 1 Kommentare | Auf WhatsApp teilen
  • Coinbase wurde Opfer eines Angriffs durch eine Hackergruppe, bei dem Mitarbeiter bestochen und Kundendaten abgegriffen wurden
  • Die Hacker entwendeten Kundeninformationen und forderten anschließend 20 Millionen Dollar Lösegeld
  • Es wurde eine beispiellose Sicherheitsbedrohung festgestellt, bei der interne Mitarbeiter mit den Hackern zusammenarbeiteten
  • Der Vorfall rückt die Bedeutung des Managements von Insider-Risiken in der Börsen- und Fintech-Branche erneut in den Fokus
  • Derzeit laufen Notfallmaßnahmen und Schutzmaßnahmen für Kunden, um eine Ausweitung des Schadens zu verhindern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-05-16
Hacker-News-Kommentare

  • Ich bekomme in letzter Zeit ständig ausgefeilte Spear-Phishing-Anrufe. Sie nutzen den üblichen Trick und behaupten, ich müsse eine verdächtige Transaktion bestätigen. Sie sprechen fließend amerikanisches Englisch, klingen sehr freundlich und kennen sogar meinen Kontostand. Beim ersten Anruf habe ich sofort erkannt, dass es Betrug ist, und dank Googles Call-Screening-Funktion bin ich seitdem sicher. Am liebsten würde ich solche Anrufe an Kitboga weiterleiten. Erst haben sie versucht, Coinbase-Kunden zu betrügen, und am Ende haben sie offenbar Coinbase selbst erpresst

    • Wenn man einmal nennenswerte Vermögenswerte bei Coinbase hatte, ist Spear-Phishing die kleinste Sorge. Coinbase hat nicht nur Namen und Adressen offengelegt, sondern auch Kontostände, Transaktionshistorien und Ausweisbilder. Viele Menschen werden tatsächlich auf der Straße oder zu Hause angegriffen, manche Familienmitglieder werden sogar entführt. Schon unter 10.000 Dollar gelten als „beträchtliche“ Vermögenswerte. Die beste Verteidigung war bisher Geheimhaltung, aber dank Coinbase ist selbst die jetzt dahin. Üble Leute können sehen, wer bei Coinbase auch nur einmal viel Geld hielt oder ausgecasht hat, und dann leicht Familieninformationen finden oder Leute zum Ziel von Erpressung machen. Selbst wenn Coinbase verpflichtet wäre, alle daraus entstehenden Schäden zu ersetzen, würde das die Firma vermutlich in den Bankrott treiben

    • Ich bin von Pixel auf iPhone gewechselt und ziemlich schockiert, wie viele Spam-Anrufe ich bekomme. Ich frage mich, wie man auf dem iPhone damit umgeht

    • Ich frage mich, wie lange diese Zunahme von Spear-Phishing-Anrufen schon anhält. Ich glaube Coinbase nicht, dass dieser Hackerangriff ein systemisches Problem gewesen sein soll

    • Ich bekomme ständig Login-Bestätigungscodes von Coinbase per SMS, ohne dass ich etwas versucht hätte. Bei meinem Microsoft-Konto ist es genauso. Ich vermute, jemand testet, ob meine E-Mail fürs Einloggen verwendet werden kann

    • Ich frage mich, von welchen Nummern diese Anrufe kommen. Ich habe viele Phishing-Anrufe bekommen, aber ich gehe nie an unbekannte Nummern. Dank Google Call Screen legen sie jedes Mal auf. Deshalb bin ich sicher, dass es Betrug ist

    • Dank AI werden Betrugsmaschen immer ausgefeilter. Viele Rechtschreibfehler sind inzwischen verschwunden. Ich habe mir neulich aus Interesse eine Phishing-Mail angesehen und Stellen gefunden, an denen seltsame Unicode-Zeichen falsch übersetzt waren. Perfekt ist es noch nicht, aber es wird immer raffinierter

    • Ich habe letzte Woche allein drei- oder viermal solche Anrufe bekommen

    • Ich frage mich, ob dieser perfekte Akzent vielleicht dem Machine Learning zu verdanken ist

    • Die Tatsache, dass sie perfektes Englisch sprechen und sogar den Kontostand kennen, lässt mich darüber spekulieren, ob es sich nicht um ehemalige Coinbase-Mitarbeiter handelt

    • Ich habe das bittere Gefühl, dass so etwas niemals aufhören wird und das kriminelle Element inzwischen zu legalem Kapitalismus geworden ist

  • Es wird als Problem hervorgehoben, dass die geleakten Daten offenbar dieselben sind wie die Informationen, die für die Kontowiederherstellung genutzt werden. Das heißt: Wenn man den Zugang zum Konto verliert, sei es durch eigenes Versehen oder wegen eines Problems bei Coinbase, ist die Wiederherstellung nicht mehr unkompliziert. Es besteht auch die Möglichkeit, dass Hacker mit den geleakten Daten eine Kontowiederherstellung versuchen. Als Lösung wird gefordert, dass es in der realen Welt Filialen für die Kontowiederherstellung geben müsse. Vor Ort könne man Kriminelle festnehmen und anklagen. Für Täter aus dem Ausland wäre das eine hohe Hürde. Die sicherste Lösung sei Hardware-2FA wie ein YubiKey

    • Die Krypto-Branche lernt gerade erneut im Schnelldurchlauf, warum das traditionelle Finanzsystem überhaupt existiert. Das IRL-Büro, von dem du sprichst, ist das, was viele Krypto-Befürworter „Bank“ nennen

    • Wenn es direkte Ein- und Auszahlungsaufzeichnungen aus der eigenen Wallet gibt, wäre es auch eine vertrauenswürdige Wiederherstellungsmethode, Coinbase eine mit diesem Schlüssel signierte Nachricht zu schicken, sofern die Adresse dort registriert ist. Im Kern ist Krypto nur eine andere Form von PKI

    • Wenn es Offline-Filialen gäbe, entstünde die Realität, dass man selbst dann in eine andere Stadt fahren müsste, wenn der Kontozugang nicht durch einen eigenen Fehler gesperrt wurde, sondern weil das System überempfindlich Risiken erkannt hat. Dann wären die ausgesperrten Nutzer zu Recht massiv verärgert

    • Wer technisch versiert genug ist, um einen YubiKey zu nutzen, würde sich vermutlich gleich eine Hardware-Wallet kaufen und die Verwahrung selbst übernehmen

    • Wenn Coinbase Offline-Filialen braucht, heißt das einfach, dass es eine Bank ist

    • Selbst wenn Hardware-2FA mit einem YubiKey die einzige Lösung ist, landet man bei Verlust wieder beim Thema Kontowiederherstellung

    • Ist die Aussage, Coinbase brauche Offline-Filialen, als Satire gemeint?

  • Ich habe beim Coinbase-Kundensupport nachgefragt, ob ich von diesem Hack betroffen bin. Nach dem AI-Chatbot und der Weiterleitung an einen echten Mitarbeiter wusste dieser nicht einmal, dass es den Hack überhaupt gegeben hatte. Offenbar war ich der Erste, der ihn darauf hingewiesen hat

    • Betroffene Konten haben eine E-Mail erhalten. Ich war ein betroffener Nutzer

    • Es kann auch einfach sein, dass der erste Kunde nur an einen faulen Support-Mitarbeiter geraten ist

    • Ich hatte einmal einen Support-Mitarbeiter, der nur die Standardschablone vorlas: „Davon wusste ich nichts, Sie erzählen mir das als Erster“

  • Man erkennt den Versuch von Coinbase, Distanz zu den „abtrünnigen Support-Mitarbeitern im Ausland“ herzustellen. Falls es tatsächlich Coinbase-Mitarbeiter oder Auftragnehmer waren, hat das Unternehmen die Daten de facto selbst an Hacker verkauft. Kunden zu entschädigen, die durch Betrug Geld verloren haben, ist selbstverständlich. Aber wenn jemand tatsächlich umziehen, seine Bank oder E-Mail wechseln oder sogar Sicherheitskräfte anheuern musste, frage ich mich, ob man auch solche Kosten dem Unternehmen in Rechnung stellen kann

    • Wenn ein Mitarbeiter gegen Unternehmensrichtlinien verstößt oder vertrauliche Daten illegal abzieht und an Hacker weitergibt, ist es schwer zu sagen, „das Unternehmen habe die Daten verkauft“

  • Es wird auf eine Aussage im offiziellen Coinbase-Blog hingewiesen: Kunden, die durch den Angriff zur Überweisung von Geldern verleitet wurden, werden entschädigt; Kunden, deren Informationen offengelegt wurden, haben bereits am 15. Mai um 7:20 Uhr ET eine E-Mail erhalten

    • Die Wahl einer No-Reply-E-Mail fällt auf. Coinbase vermarktet Zentralisierung und Kundensupport als große Vorteile, aber genau das zeigt, wie solche Social-Engineering-Angriffe überhaupt möglich werden

    • Ich frage mich, warum Coinbase-Prime-Konten nicht zum Umfang des Leaks gehören. Ob diese Konten besonderen Schutz haben oder ob Betrüger sich einfach weniger für solche Konten interessiert haben?

  • Wegen staatlicher KYC-Gesetze ist Coinbase gezwungen, weit mehr sensible Informationen zu speichern, als eigentlich für die Identitätsprüfung nötig wären. Dass sogar Ausweisfotos gestohlen wurden, sei die Schuld des Staates, und problematisch seien sowohl Kriminelle als auch Insider, die mit diesen Daten alles Mögliche anstellen könnten

    • KYC hat an sich gute Gründe. Das Problem ist nicht staatliche Regulierung, sondern private Unternehmen, die nachlässig mit Kundendaten umgehen. Schlampiges Management ist billiger, und weil es nicht ihre eigenen Daten sind, fehlt der Anreiz zum Schutz. Ohne Zwang werden sie sich nicht daran halten

    • Zu behaupten, man müsse wegen KYC sensible Informationen dauerhaft behalten, ist eine Ausrede. Man sollte ehrlich sagen, warum jeder Support-Mitarbeiter permanent Zugriff auf Ausweisdokumente haben kann

  • Ich finde die Reaktion von Coinbase ziemlich gut: Die Forderung nach 20 Millionen Dollar Lösegeld wird kategorisch nicht erfüllt, stattdessen wird ein Belohnungsfonds über 20 Millionen Dollar für Hinweise eingerichtet, die zur Ergreifung der Täter führen

    • Darauf wurde schon im Film „Ransom“ von 1996 gesetzt

    • Aus Kundensicht wäre es wichtiger, das Datenleck durch Zahlung des Lösegelds einzudämmen; ein separater Belohnungsfonds ist zwar gut, aber der unmittelbare Schutz der Daten ist dringender

    • Mir gefällt diese Reaktion. In solchen Momenten würden viele Leute es wahrscheinlich feiern, wenn ein Unternehmen statt steriler Formulierungen einfach sagen würde: „Fickt euch, ihr Hacker-Schweine!“

  • Es heißt nur, man habe „abtrünnige Support-Mitarbeiter im Ausland“ angeheuert. Es wird nicht erklärt, aus welchem Land sie kamen und warum man sie überhaupt eingestellt hat. Dass ein Unternehmen mit bereits Milliardenumsätzen nicht einmal vernünftige Einstellung und Prüfung des Personals hinbekommt, erscheint merkwürdig

  • Zur Einführung des „20-Millionen-Dollar-Belohnungsfonds“: Ich kritisiere die Krypto-Branche normalerweise, aber dieses Mal lobe ich sie dafür. Hoffentlich wird die Belohnung am Ende auch wirklich ausgezahlt

    • Als Witz wird angemerkt, dass die Belohnung vielleicht in Krypto ausgezahlt wird

  • Das wirkt wie ein Déjà-vu. Wenn Coinbase erst in dem Moment gemerkt hat, dass etwas nicht stimmt, als die Hacker Geld gefordert haben, frage ich mich, ob sie überhaupt Zugriffslogs der Mitarbeiter führen. Ich frage mich, ob es intern irgendeine minimale Möglichkeit gibt, Verantwortlichkeiten nachzuverfolgen. Man sollte doch einfach ein System zur Zugriffsnachverfolgung bauen und bei Auffälligkeiten oder böswilligen Mitarbeitern sofort sperren können. Ich bin gespannt, wie die Abfindungen der Führungskräfte nach dieser Sache aussehen werden

    • Laut offiziellem Blog haben Kundensupport-Mitarbeiter sensible Daten, auf die sie bereits Zugriff hatten, gegen Bezahlung an die Angreifer weitergegeben. Die Hacker haben nicht direkt auf die Konten zugegriffen

    • Ich habe selbst erlebt, dass wir beim Einstellen von Mitarbeitern außerhalb der USA mehrere zusätzliche Sicherheitsebenen für interne Admin-Panels einführen mussten, etwa Logging, Monitoring und Admin-Freigaben. In der Kreditkartenbranche sind die Datenschutzstandards dank PCI-DSS extrem streng. In der Krypto-Branche scheint das Sicherheitsbewusstsein wegen solcher fehlenden Vorgaben vergleichsweise schwächer zu sein

    • Als Mindestmaßnahme braucht es Logging und nachträgliche Audits. Es ist auch nicht unzumutbar, von Support-Mitarbeitern zu verlangen, Bestätigungsinformationen zu nutzen, die Kunden nicht leicht kennen können. Falls Kunden sich selbst ausgesperrt haben, könnte das eine sehr kleine Zahl streng kontrollierter Mitarbeiter übernehmen. Selbst wenn weniger als 1 % der monatlichen Nutzer betroffen waren, ist das immer noch eine beträchtliche Zahl