1 Punkte von GN⁺ 2025-05-16 | 1 Kommentare | Auf WhatsApp teilen
  • Coinbase hat einen Vorfall offengelegt, bei dem im Ausland tätige Support-Mitarbeiter bestochen wurden und dadurch Kundendaten abflossen; die Angreifer wollten diese für Social-Engineering-Angriffe nutzen, und die Kosten für die Bewältigung des Vorfalls werden auf bis zu 400 Millionen Dollar geschätzt
  • Die Angreifer behaupteten, am 11. Mai Informationen zu einigen Kundenkonten und interne Dokumente erlangt zu haben, und forderten 20 Millionen Dollar dafür, diese nicht zu veröffentlichen
  • Zu den geleakten Daten gehörten Namen, Kontaktdaten, maskierte Bankkontoinformationen, Ausweisbilder und Kontostände, doch Passwörter, private Schlüssel und Gelder wurden nicht offengelegt, und Coinbase-Prime-Konten waren ebenfalls nicht betroffen
  • Coinbase verweigert die Zahlung des Lösegelds, arbeitet mit Strafverfolgungsbehörden zusammen, hat beteiligte Mitarbeiter entlassen, potenziell betroffene Kunden gewarnt und den Schutz durch Betrugsüberwachung verstärkt
  • Das Unternehmen hat eine Belohnung von 20 Millionen Dollar für Informationen ausgesetzt, die zur Festnahme und Verurteilung der Verantwortlichen führen, und erklärt, Kunden zu entschädigen, die durch die Täuschung der Angreifer Geld verloren haben

Datendiebstahl durch Bestechung von Support-Personal im Ausland

  • Laut Coinbase bestachen Cyberkriminelle Support-Agenten im Ausland, um Kundendaten zu stehlen, und wollten diese Daten für Social-Engineering-Angriffe verwenden
  • Die Kosten für die Bewältigung des Vorfalls könnten sich auf bis zu 400 Millionen Dollar belaufen
  • Die Coinbase-Aktie fiel im Vormittagshandel um mehr als 6 %

Forderung über 20 Millionen Dollar und die Reaktion von Coinbase

  • Coinbase erhielt am 11. Mai eine E-Mail von Personen, die behaupteten, Informationen zu einigen Kundenkonten und interne Dokumente erlangt zu haben
    • Das Unternehmen meldete in einer SEC-Einreichung, dass die internen Dokumente Materialien zu Kundenservice- und Kontoverwaltungssystemen enthielten
  • Die Angreifer forderten 20 Millionen Dollar dafür, die Informationen nicht zu veröffentlichen
  • Coinbase zahlt das Lösegeld nicht und untersucht den Vorfall gemeinsam mit Strafverfolgungsbehörden
  • In einem Blogbeitrag erklärte das Unternehmen, die Forderung abzulehnen und stattdessen eine Belohnung von 20 Millionen Dollar für Informationen bereitzustellen, die zur Festnahme und Verurteilung der Kriminellen führen

Offengelegte Informationen und Umfang der Auswirkungen

  • Zu den betroffenen Daten gehörten sensible Kundeninformationen
    • Namen, Adressen, Telefonnummern, E-Mail-Adressen
    • Maskierte Bankkontonummern und Identifikatoren
    • Die letzten 4 Ziffern der Social-Security-Nummer
    • Bilder amtlicher Ausweisdokumente
    • Kontostände
  • Passwörter, private Schlüssel und Gelder wurden nicht offengelegt
  • Coinbase-Prime-Konten waren nicht betroffen
  • Kunden, die den Angreifern Geld überwiesen haben, sollen entschädigt werden

Missbrauch interner Zugriffe und frühzeitige Erkennung

  • Die Angreifer bestachen Mitarbeiter in Support-Rollen und externe Kräfte im Ausland, um an Informationen zu gelangen
  • Die bestochenen Insider missbrauchten ihren Zugriff auf Kundensupport-Systeme, um Daten einiger Kundenkonten zu stehlen
  • Coinbase hatte den Vorfall in den vorangegangenen Monaten eigenständig entdeckt und die beteiligten Mitarbeiter umgehend entlassen
  • Das Unternehmen warnte Kunden, die möglicherweise von einem Informationszugriff betroffen waren, und verstärkte den Schutz durch Betrugsüberwachung

Jüngste Geschäftsentwicklung von Coinbase

  • Coinbase betreibt die größte Kryptowährungsbörse der USA
  • In der vergangenen Woche kündigte das Unternehmen eine Übernahme an, die voraussichtlich der globalen Expansion helfen wird, und bestätigte zudem die Aufnahme in den S&P 500, die ab nächster Woche wirksam wird
  • In der Conference Call zur Ergebnisbekanntgabe vergangene Woche sagte CEO Brian Armstrong, sein Ziel sei es, Coinbase in den nächsten 5 bis 10 Jahren zur weltweit führenden App für Finanzdienstleistungen zu machen

1 Kommentare

 
GN⁺ 2025-05-16
Meinungen auf Hacker News
  • Link zur ursprünglichen SEC-Meldung: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • Ich bekomme ständig Spear-Phishing-Anrufe von dieser Seite oder von jemandem, der die geleakten Daten gekauft hat.
    Es ist die typische Masche, angeblich eine möglicherweise betrügerische Transaktion bestätigen zu müssen; sie sprechen perfektes Englisch mit US-Akzent, klingen sehr freundlich und kennen sogar den Kontostand.
    Zum Glück habe ich schon beim ersten Anruf sofort erkannt, dass es Betrug ist, und den Rest blockt Googles Anruf-Screening ziemlich gut ab.
    Wenn möglich, würde ich sie gern an Kitboga weiterleiten: https://www.youtube.com/watch?v=HNziOoXDBeg

    • Wenn man vor diesem Leak jemals nennenswerte Assets bei Coinbase hatte, ist Spear-Phishing das kleinste Problem.
      Coinbase hat nicht nur Namen und Adressen herausgegeben, sondern auch Kontostände, Transaktionshistorien und Bilder amtlicher Ausweise; Menschen mit großen Kryptobeständen werden auf der Straße oder zu Hause angegriffen, oder Familienmitglieder werden gegen Lösegeld entführt.
      „Groß“ kann hier auch 10.000 Dollar oder weniger bedeuten.
      Die beste Verteidigung war bisher Geheimhaltung: öffentlich nicht in einer Weise über Krypto sprechen, die mit dem echten Namen verknüpft werden kann. Dank Coinbase ist diese Verteidigungslinie nun weg.
      Kriminelle können sehen, wer bei Coinbase jemals einen nennenswerten Kontostand hatte, ob und in welcher Höhe er ausgezahlt wurde und ob Tokens in eine eigene Wallet außerhalb der Börse transferiert wurden.
      Jetzt wissen sie, wer eine Entführung wert ist und wo diese Person wohnt; wenn man Namen und Wohnadresse googelt, findet man meist auch die Namen von Familienmitgliedern, die für Drohungen oder Entführungen infrage kommen.
      Coinbase wird wohl nicht gezwungen werden, die tatsächlichen Schadenskosten vollständig zu ersetzen; diese Kosten wären hoch genug, um das Unternehmen in die Insolvenz zu treiben.
    • Ich bin von einem Pixel auf ein iPhone umgestiegen und war schockiert, wie viele Spam-Anrufe es gibt.
      Ich frage mich, wie iPhone-Nutzer damit umgehen.
    • Ich bekomme inzwischen regelmäßig SMS mit Coinbase-Login-Bestätigungscodes, obwohl ich keinen Login versucht habe.
      Bei meinem Microsoft-Konto ist es genauso.
      Normalerweise ignoriere ich sie einfach, aber es wirkt so, als würde jemand testen, ob er sich mit meiner E-Mail einloggen kann.
    • Ich frage mich, seit wann diese Spear-Phishing-Anrufe zugenommen haben.
      Die Erklärung, Coinbase habe das nicht als systemisches Problem erkannt, bis es von einem „Cyberkriminellen“ kontaktiert wurde, ist schwer zu glauben.
    • Seit AI sind Betrugsversuche ausgefeilter geworden, und die üblichen Rechtschreibfehler sind größtenteils verschwunden.
      Vor Kurzem habe ich mir aus Neugier eine Phishing-Mail angesehen und bemerkt, dass ein seltsames Unicode-Zeichen falsch übersetzt worden war; ich habe es sofort als Spur einer miserablen Übersetzung erkannt.
      Nicht perfekt, aber ziemlich gut gemacht.
  • Das Problem ist, dass die geleakten Daten wie Daten aussehen, die für Account Recovery verwendet werden.
    Das heißt: Wenn man den Zugriff auf sein Konto verliert, egal ob durch eigenen Fehler oder durch einen Fehler von Coinbase, ist der Wiederherstellungsprozess möglicherweise nicht mehr einfach; Hacker könnten diese geleakten Informationen außerdem nutzen, um zu versuchen, Accounts „wiederherzustellen“.
    Coinbase braucht Offline-Filialen. Es sollte Orte geben, an denen Dinge wie Account Recovery persönlich erledigt werden können und an denen man Personen fassen und strafrechtlich verfolgen kann, die Geld stehlen wollen; das wäre auch eine große Hürde für Diebe, die meist aus dem Ausland agieren.
    Die einzige Lösung hier ist Hardware-2FA wie YubiKey.

    • Die Kryptoindustrie entdeckt im Zeitraffer immer wieder neu, warum das globale Finanzsystem existiert.
      Was gerade beschrieben wurde, ist im Grunde das, was viele Kryptobefürworter eine Bank nennen würden.
    • Das ist einfach eine Bank.
    • Was soll man tun, wenn man Hardware-2FA wie einen YubiKey verliert? Landet man am Ende nicht wieder beim Account-Recovery-Schritt?
    • Wenn man jemals Geld an eine selbst kontrollierte Wallet gesendet hat, könnte man eine Nachricht mit diesem Key signieren lassen und Coinbase sie anhand der gespeicherten Adresse verifizieren lassen; das wäre ein vertrauenswürdiger Wiederherstellungsfaktor.
      Krypto ist schließlich eine weitere Public-Key-Infrastruktur.
    • 99 % der Daten, die für Account Recovery verwendet werden, sind öffentliche Einträge oder Informationen, die bereits in Dutzenden großer Datenlecks enthalten waren.
  • Ich habe den Coinbase-Kundensupport kontaktiert, um herauszufinden, ob ich betroffen bin.
    Nachdem ich Zeit mit einem AI-Bot verschwendet hatte, wurde ich zu einem Menschen weitergeleitet; diese Person wusste nichts von dem Leak, und ich war der Erste, der sie darüber informierte.

    • Betroffene Accounts wurden per E-Mail benachrichtigt.
      Quelle: Ich bin betroffen.
    • Du hast das Skript „Wow, das wussten wir nicht, Sie sind der Erste, der uns das sagt“ zu hören bekommen.
  • Der Grund, warum Coinbase weit mehr sensible Informationen speichern musste, als für Identitätsprüfung und Authentifizierung nötig wäre, ist Know Your Customer.
    Dass Passfotos gestohlen wurden und Kriminelle oder böswillige Coinbase-Mitarbeiter mit diesen Informationen machen können, was sie wollen, ist zum Teil der Regierung zu verdanken.

    • Für Know Your Customer gibt es gute Gründe.
      Das Problem hier ist nicht staatliche Regulierung, sondern dass ein Privatunternehmen fahrlässig mit Kundendaten umgeht.
      Schlampig zu sein ist billig, und da die gefährdeten Informationen nicht dem Unternehmen, sondern den Kunden gehören, gibt es wenig Anreiz, sie ordentlich zu schützen, solange das nicht gesetzlich erzwungen wird.
    • Das ist eine zu einfache Schuldzuweisung.
      Man muss ehrlich erklären, warum jeder Support-Mitarbeiter dauerhaft Zugriff auf Identifikationsdokumente haben sollte.
      Diese Dokumente werden nur für Know Your Customer benötigt.
  • Coinbase scheint ziemlich bemüht zu sein, sich von den sogenannten „böswilligen Support-Mitarbeitern im Ausland“ zu distanzieren.
    Wenn es Coinbase-Mitarbeiter oder Auftragnehmer waren, hat das Unternehmen seine Daten faktisch an Hacker verkauft, die dann erneut Lösegeld verlangten.
    Kunden zu entschädigen, die durch Täuschung Geld überwiesen haben, ist sinnvoll, denn die rechtliche Argumentation, dass Coinbase’ Verhalten zu den Verlusten geführt hat, wirkt ziemlich klar.
    Spannender ist die Frage, ob jemand in einem Verfahren gewinnen könnte, der glaubt, umziehen, die Bank wechseln, die E-Mail-Adresse ändern oder Sicherheitspersonal engagieren zu müssen, und diese Kosten teilweise oder vollständig vom Unternehmen ersetzt haben will.

    • Diese Auslegung ist seltsam.
      Wenn Mitarbeiter eines Unternehmens gegen Richtlinien verstoßen und wahrscheinlich illegal interne Unternehmensdaten entwendet und gegen Geld an Hacker weitergegeben haben, ist es schwer zu sagen: „Unser Unternehmen hat die Daten verkauft.“
  • Coinbase-Blogbeitrag: https://www.coinbase.com/blog/protecting-our-customers-stand...
    Darin heißt es, man werde Kunden entschädigen, die durch Social-Engineering-Angriffe dazu verleitet wurden, Geld an die Angreifer zu schicken; Kunden, auf deren Daten zugegriffen wurde, habe man bereits von no-reply@info.coinbase.com aus per E-Mail benachrichtigt.
    Alle Benachrichtigungen an betroffene Kunden seien am 15.5. um 7:20 Uhr Eastern Time verschickt worden.

    • Die Verwendung von no-reply ist eine interessante Entscheidung.
      Ich verstehe, dass es schwierig ist, ein Unternehmen wie Coinbase zu betreiben, aber Zentralisierung und Kundensupport – die größten Stärken – sind zugleich genau die Faktoren, die solches Social Engineering ermöglichen. Deshalb wirkt die Wahl etwas merkwürdig.
    • Es hieß: „Passwörter, Private Keys und Gelder wurden nicht offengelegt, und Coinbase-Prime-Konten waren nicht betroffen.“ Ich frage mich, warum Coinbase Prime-Konten nicht Teil des Leaks waren.
      Ich weiß nicht, ob es hinter der Paywall von Coinbase Prime eine zusätzliche Datenschutzschicht gibt oder ob man diese Nutzer absichtlich gemieden hat, weil sie wahrscheinlich erfahrener sind.
  • Laut Beschreibung des Leaks scheinen die Angreifer mehrere Auftragnehmer oder Mitarbeiter im Support außerhalb der USA bezahlt zu haben, damit diese Informationen aus internen Coinbase-Systemen zusammentragen, auf die sie beruflich Zugriff hatten.
    Nach den geleakten Informationen zu urteilen, ist die Quelle höchstwahrscheinlich der Kundensupport auf den Philippinen.
    Die Monatsgehälter liegen dort meist unter 1.000 Dollar, Einsteiger können sogar unter 500 Dollar verdienen; ein Bestechungsgeld von 5.000 Dollar kann also steuerfrei mehr als ein Jahresgehalt ausmachen.
    Gemessen daran, wie viel sich mit diesem Datensatz verdienen lässt, ist das eine kleine Investition.
    Geleakt wurden Namen, Adressen, Telefonnummern, E-Mail-Adressen, die letzten vier Stellen maskierter Social-Security-Nummern, maskierte Bankkontonummern und einige Bankkennungen, Bilder staatlicher Ausweise wie Führerschein oder Reisepass, Snapshots von Kontoständen und Transaktionshistorien sowie einige Unternehmensdokumente, Schulungsmaterialien und Kommunikationsdaten, die Supportmitarbeiter einsehen konnten.
    Das sind die Daten, von denen jeder Angreifer träumt; schon E-Mail-Adresse und Kontostand allein sind ein Albtraum.
    Statt das Unternehmen zu erpressen, kann man jeden Nutzer direkt erpressen: „Schick 50 % deiner BTC, dann veröffentlichen wir nicht all deine Informationen im Internet.“
    Es dürfte auf eine ähnliche Situation wie beim Vastaamo-Datenleck hinauslaufen: https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • Die Erpressung einzelner Nutzer könnte noch zu den kleineren Sorgen gehören.
      In Frankreich gab es seit Anfang dieses Jahres mindestens fünf Fälle von Entführungen und versuchten Entführungen im Zusammenhang mit Krypto-Investoren.
    • Es ist noch gravierender.
      US-Unternehmen lagern Kundensupport auf die Philippinen aus und zahlen dafür 3 bis 6 Dollar pro Stunde.
      Die Dienstleister, die diese Services erbringen, haben eine extrem hohe Fluktuation; bei manchen Unternehmen liegt die durchschnittliche Betriebszugehörigkeit der Mitarbeiter bei etwa sechs Monaten.
      Es gibt keinerlei Grund zur Loyalität.
    • Es gibt praktisch keine staatliche Regulierung von KI, keine Strafen für Datenlecks und keine Schutzmechanismen, die Menschen vor massenhaftem Missbrauch bewahren.
      Im Gegenteil, es geht in die entgegengesetzte Richtung.
      Ich glaube, solche Schocks werden die USA in nicht allzu ferner Zukunft ins Chaos stürzen.
    • Der Kernpunkt sind nicht nur die niedrigen Löhne auf den Philippinen, sondern dass jeder seinen Preis hat.
      In den USA wäre der Preis viel höher gewesen, aber die Gewinne aus dem Angriff wären vermutlich ebenfalls entsprechend größer angesetzt worden.
  • Wie man auch zu Coinbase steht, diese Reaktion wirkt ziemlich ordentlich.
    Statt 20 Millionen Dollar Lösegeld zu zahlen, setzen sie 20 Millionen Dollar Belohnung für Informationen aus, die zur Festnahme und Verurteilung der Verantwortlichen führen.

    • Überhaupt nicht ordentlich.
      Der Titel lautet „Protecting Our Customers - Standing Up to Extortionists“, obwohl sie sich eigentlich dafür entschuldigen müssten, persönliche Daten geleakt zu haben. Das Problem ist, dass die Mitteilung so geschrieben ist, dass Leute sie dafür loben.
      Genau das macht mich wirklich wütend.
      Außerdem lautete der Betreff der E-Mail, die ich erhalten habe, „important notice“, und dass mein persönliches Konto betroffen war, stand erst im dritten Satz eines langatmigen Absatzes.
      Nichts daran ist in Ordnung, und das zeigt nicht, dass dieses Unternehmen die Sache ernst nimmt.
    • Das ist derselbe Trick wie im Film Ransom von 1996: https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • Gefällt mir.
      Solche Momente sind auch eine gute Gelegenheit, kurz aus der Unternehmenssprache auszubrechen und so etwas zu sagen wie: „Verpisst euch, ihr Hacker!“
      Selbst Leute aus dem Bible Belt akzeptieren ein gut getimtes Schimpfwort.
    • Aus Kundensicht könnte es besser sein, das Lösegeld zu zahlen und die personenbezogenen Daten zurückzubekommen.
      Ein Belohnungsprogramm obendrauf wäre gut, aber wenn es um meine Daten ginge, wäre mir wichtiger, dass Coinbase den Umfang des Leaks begrenzt, statt ein rachsüchtiges Kopfgeldspiel zu spielen.
  • Dass Coinbase solche Informationen überhaupt haben musste, liegt an den Know-your-Customer-Regulierungen, und das ist wirklich bedauerlich.
    Wir sollten eine starke gesellschaftliche Norm etablieren, personenbezogene Daten nicht ohne guten Grund weiterzugeben.
    Das ist nicht nur ein Risiko für persönlichen Diebstahl, sondern auch ein Risiko für die nationale Sicherheit.
    Da Coinbase nicht in mein Social-Security-Konto einzahlt, sollte es meine Social-Security-Nummer nicht haben; und da Coinbase mich nicht zu Hause besucht, sollte es meine Adresse nicht haben.
    Historisch waren Know-your-Customer-Regulierungen in kommunistischen Staaten weit verbreitet, in den meisten Demokratien vor dem 11. September aber kaum vorstellbar.
    9/11 bot den Nachrichtendiensten die perfekte Gelegenheit, ihre Wunschliste in Gesetzesform zu bringen, und leider hilft das ausländischen Nachrichtendiensten genauso wie den inländischen – vielleicht sogar noch mehr.
    Wann sie in verschiedenen Ländern eingeführt wurden, kann man hier sehen: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • Ich würde gern hören, ob du diese Haltung noch wiederholen kannst, nachdem dein Coinbase-Konto kompromittiert wurde und du nach Abhilfe suchst.