Coinbase veröffentlicht Aufzeichnungen, die darauf hindeuten, dass der Angriff monatelang lief, bevor die Kompromittierung erkannt wurde

 (jonathanclark.com)
1 Punkte von GN⁺ 2025-11-17 | 1 Kommentare | Auf WhatsApp teilen
  • Im Januar 2025 wurde ein Fall bekannt, in dem ein Angreifer detaillierte personenbezogene Daten wie die Sozialversicherungsnummer und den Bitcoin-Kontostand kannte
  • Das Opfer reichte umgehend einen detaillierten technischen Bericht beim Sicherheitsteam von Coinbase ein, erhielt danach jedoch 4 Monate lang keine Antwort auf zentrale Fragen
  • Coinbase räumte erst im Mai ein, dass es zu einem Abfluss interner Daten durch Mitarbeiter des ausländischen Subunternehmens TaskUs gekommen war, und sprach von rund 1 % der Kunden sowie Schäden von bis zu 400 Millionen US-Dollar
  • Die Analyse der E-Mail-Header bestätigte eine mehrstufige Angriffsstruktur mit gefälschten Sendungen über Amazon SES, der Nutzung einer Google-Voice-Nummer und einem SMS-Bombardement
  • Die viermonatige Lücke zwischen Meldung und Offenlegung zeigt ein Versagen bei Sicherheitsüberwachung und Reaktion und hebt das Vertrauensproblem zentralisierter Börsen hervor

Überblick über den Vorfall

  • Am 7. Januar 2025 erhielt das Opfer eine E-Mail mit dem Betreff „2.93 ETH withdrawal request“ und anschließend einen Anruf, der sich als Coinbase ausgab
    • Der Anrufer kannte nicht öffentliche Daten wie Sozialversicherungsnummer, Bitcoin-Kontostand und Führerscheindaten
    • Das Opfer meldete dies sofort an das Sicherheitsteam von Coinbase und übermittelte detaillierte Analyseunterlagen mit E-Mail-Headern, Audioaufzeichnungen und Informationen über den Angreifer
  • Brett Farmer, Leiter von Trust & Safety bei Coinbase, antwortete, es handle sich um einen „sehr soliden Bericht“, reagierte danach jedoch auf keine weiteren Rückfragen mehr

Widerspruch zu Coinbases offizieller Darstellung

  • Coinbase erklärte, die Kompromittierung erst am 11. Mai 2025 erkannt zu haben, und machte sie am 15. Mai öffentlich
    • Die Angreifer hätten Mitarbeiter von TaskUs in Indien bestochen, um Kundendaten zu stehlen
    • Abgeflossene Daten: Namen, Adressen, Telefonnummern, E-Mail-Adressen, die letzten 4 Ziffern der Sozialversicherungsnummer, Bilder von amtlichen Ausweisen, Kontostände und Transaktionsverläufe
    • Das Ausmaß wurde auf weniger als 1 % der Kunden und Verluste von 180 bis 400 Millionen US-Dollar geschätzt
  • Das Opfer hatte jedoch bereits im Januar Belege dafür vorgelegt, dass der Angreifer Zugriff auf interne Daten hatte, was Coinbase ignorierte

Details zum Angriffsaufbau

  • E-Mail-Fälschung:
    • Die Absenderadresse lautete commerce@coinbase.com, der tatsächliche sendende Server war jedoch Amazon SES(a32-86.smtp-out.amazonses.com)
    • Die DKIM-Signatur bestand sowohl für coinbase.com als auch für amazonses.com und vermittelte so Glaubwürdigkeit
    • Der Return-Path war auf amazonses.com gesetzt, was auf eine mögliche Fälschung hindeutet
  • Telefonbetrug:
    • Die anrufende Nummer 1-805-885-0141 wurde als Google-Voice-Nummer identifiziert
    • Der Angreifer versuchte, das Opfer dazu zu bewegen, Vermögenswerte in eine „Cold Wallet“ zu verschieben
  • SMS-Bombardement:
    • Unmittelbar nach dem Anruf gingen Hunderte Spam-SMS ein
    • Dies wurde als Technik zur Erzeugung von Rauschen analysiert, um nach 2FA-Codes und Sicherheitswarnungen zu fragen

Probleme bei Coinbase

  • Auslagerung sicherheitssensibler Aufgaben: Ausländische Vertragskräfte konnten auf Kundenidentitätsdaten und Kontodaten zugreifen
  • Versagen bei der Erkennung der Kompromittierung: Obwohl der Angriff seit Januar lief, erkannte das interne Überwachungssystem ihn bis Mai nicht
  • Ignorieren von Nutzerhinweisen: Auf den technischen Bericht und die Fragen des Opfers gab es vier Monate lang keine Antwort
  • Verspätete Offenlegung: Obwohl der Angriff schon Monate zuvor lief, erfolgte die offizielle Kenntnisnahme erst nach einer Lösegeldforderung

Sicherheitshinweise für Nutzer

  • Telefonnummern und Caller-ID nicht vertrauen, sondern immer über die Nummern auf der offiziellen Website gegenprüfen
  • Angreifern auch dann nicht vertrauen, wenn sie personenbezogene Daten kennen; eine beidseitige Verifizierung ist notwendig
  • Durch Analyse der E-Mail-Header sendenden Server sowie SPF- und DKIM-Ergebnisse prüfen
  • Rückrufnummer verifizieren und die Identität über Authentifizierungsverfahren in der App bestätigen
  • Druckaufbau bei Geldtransfers zurückweisen und appbasierte 2FA statt SMS verwenden
  • Angriffsversuche sofort mit allen technischen Informationen melden

Bedeutung der viermonatigen Lücke

  • Das Opfer hatte im Januar Belege für die Kompromittierung und Audioaufzeichnungen eingereicht, Coinbase reagierte jedoch bis Mai nicht
  • In dieser Zeit könnten auch andere Kunden demselben Angriff ausgesetzt gewesen sein
  • Das Schweigen von Coinbase offenbart strukturelle Mängel bei Sicherheitswarnsystemen und Kundenreaktionsprozessen
  • Der Vorfall steht sinnbildlich für das Vertrauens- und Verantwortungsproblem zentralisierter Börsen; das Opfer kam zu dem Schluss, „dieses Schweigen dauerte 120 Tage“

Zentrale offene Fragen an Coinbase

  • Wann genau fand der tatsächliche Datenabfluss statt
  • Wie viele Betroffene gab es zwischen Januar und Mai, und wie wurden ihre Meldungen bearbeitet
  • Was war die Ursache für das Versagen der internen Zugriffskontrollen, und gab es regulatorische Reaktionen
  • Ist die Wirksamkeit der von Coinbase behaupteten Sicherheitsverbesserungen überprüfbar

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-17
Hacker-News-Kommentare

  • Laut einem Reuters-Bericht vom 2. Juni wurde bekannt, dass Coinbase seit Januar von einem Abfluss von Kundendaten über einen externen Dienstleister wusste
    Laut einer SEC-Meldung vom 14. Mai erhielt Coinbase am 11. Mai eine E-Mail von einem unbekannten Angreifer, in der behauptet wurde, er habe Informationen zu Kundenkonten und interne Dokumente erlangt, darunter Materialien zu Kundendienst- und Kontoverwaltungssystemen

    • Ich habe Coinbase dieses Problem am 7. Januar gemeldet. Das Timing passt also exakt. An der selbstsicheren Haltung des Mitarbeiters, mit dem ich gesprochen habe, konnte man erkennen, dass ich wohl nicht der erste Hinweisgeber war
    • Das Wort „externer Dienstleister“ wird künftig wohl zur wiederkehrenden Zwischenüberschrift solcher Vorfallberichte werden

  • Ich habe früher einmal Netzwerkarbeiten in dem Coworking-Space übernommen, in dem Coinbase eingemietet war, und das Admin-Passwort stand auf einem Whiteboard und war sogar vom Flur aus sichtbar
    Ich habe das per E-Mail angemerkt und sogar in Rechnung gestellt, aber ihre Lösung bestand darin, einfach ein Blatt Papier über das Passwort zu hängen. Was für absurde Zeiten

    • Für eine nicht angeforderte Dienstleistung eine Rechnung zu schicken ist ein guter Weg, damit niemand deine E-Mails ernst nimmt
    • Das überrascht mich überhaupt nicht. Die gesamte Bitcoin- und Fintech-Branche ist viel zu leichtsinnig

  • Vor etwa einem Monat bekam ich in Großbritannien einen Anruf von jemandem, der behauptete, von Coinbase zu sein
    Als ich sagte, dass ich auf meinem Konto nur etwa 5 £ in Bitcoin Cash habe, verlor die Person sofort das Interesse und meinte, man werde es per E-Mail regeln
    Auf die Frage, ob ich Cold Storage hätte, antwortete ich, ich hätte einen Kühlschrank. Das stimmte sogar

    • Haha, den Witz werde ich beim nächsten Spam-Anruf auch benutzen

  • Die Überschrift des Artikels ist viel zu clickbait-lastig
    Tatsächlich geht es nur um eine Aufzeichnung, in der ein Phishing-Angreifer versucht, Informationen herauszubekommen; das ist kein Beleg dafür, dass Coinbase von dem Leak wusste
    Nur weil der Hinweisgeber Coinbase Material übergeben hat, heißt das nicht, dass sie den Breach bereits erkannt hatten

    • Ich habe Coinbase die Gesprächsaufzeichnung und die E-Mails geschickt, und von dort die Antwort bekommen: „Dieser Bericht ist sehr belastbar und eine Untersuchung sehr wert. Wir untersuchen den Betrüger derzeit.“
    • Du hast den Artikel offenbar nicht richtig gelesen. Alles Nötige steht darin

  • Interessante Geschichte, aber mich stört extrem, dass der Text mit AI geschrieben wurde. Er war unangenehm zu lesen

    • Ich würde gern fragen, woher du dir da so sicher bist. LLMs ahmen menschliche Sprechweisen nach, aber diese Sprechweisen stammen letztlich auch von irgendwem.
      Die heutigen Sprachmuster von LLMs sind wahrscheinlich das Ergebnis kopierter Schreibgewohnheiten irgendeiner Person
    • Ob es mit AI geschrieben wurde, weiß ich nicht, aber es wiederholt ständig dieselben Aussagen. Man hätte den Text auf ein Drittel kürzen können, ohne etwas zu verlieren
    • Mich hat auch dieser typische „LinkedIn-Tonfall“ von AI gestört. Die Satzstruktur ist besser geworden, aber es gibt immer noch übertriebene Dramatisierung, unnötige Listen und künstliche Titel wie „The Call That Changed Everything“
      Besonders Formulierungen wie „The Timeline That Doesn’t Make Sense“ passen nicht zum tatsächlichen Inhalt.
      Wenn ein Großunternehmen mitten in einer komplexen Untersuchung steckt, ist es völlig normal, dass eine Bekanntgabe Zeit braucht, aber AI ignoriert den Kontext und urteilt einfach, etwas sei „seltsam“.
      Gerade solche kontextlosen Urteile scheinen mir das größte Problem von AI-Texten zu sein
    • Für so eine Behauptung braucht man Belege

  • Das ist kaum als Beweis zu werten
    Der Autor hat einen Phishing-Anruf erhalten und ihn Coinbase gemeldet, mehr nicht. Coinbase bekommt täglich hunderte solcher Phishing-Meldungen
    Die Informationen, die der Angreifer hatte, könnten auch aus einem anderen Datenleck stammen. Ebenso gut könnte der Kunde seine Kontoinformationen versehentlich offengelegt haben

    • Anfangs dachte ich, sie hätten mich verfolgt, indem sie Blockchain-Transaktionen mit meinem Namen verknüpft haben.
      Aber der Angreifer kannte sogar mein ETH- und BTC-Guthaben sowie das Eröffnungsdatum des Kontos.
      Das Eröffnungsdatum ließe sich vielleicht nachverfolgen, aber die Guthaben beider Coins gleichzeitig zu kennen, erscheint ohne interne Coinbase-Informationen unmöglich

  • Die Timeline ist interessant, aber dieser einzelne Fall reicht nicht aus, um daraus abzuleiten, dass Coinbase vom Leak wusste
    Screen-Scraping-Malware ist weit verbreitet, und aus Sicht eines Analysten ist es naheliegend, zunächst von einer Infektion auf Kundenseite auszugehen
    Tatsächlich werden oft Kunden gehackt, die dann dem Unternehmen die Schuld geben

    • Aber nachdem ich die Gesprächsaufzeichnung und sogar die E-Mail-Header geschickt hatte, antwortete mir der Leiter für Trust & Safety bei Coinbase persönlich: „Dieser Bericht ist sehr belastbar. Wir untersuchen den Scammer derzeit.“

  • Ich habe ungefähr zur selben Zeit ebenfalls Anzeichen eines Coinbase-Hacks bemerkt
    Sogar ein Discord-API-Key war geleakt und wurde erst etwa im April oder Mai zurückgesetzt.
    Das deutet darauf hin, dass selbst das zentrale Secrets-Management-System kompromittiert wurde

  • Unsere Organisation nutzt ebenfalls Coinbase, und wir wurden Anfang Februar 2025 Ziel eines Angriffsversuchs
    Zum Glück war unser Account-Manager misstrauisch genug, die offizielle Kontaktadresse der Gegenseite direkt zu prüfen, sodass Schaden verhindert werden konnte