На 15 май Coinbase разкри, че хакери са откраднали личните данни на десетки хиляди клиенти - най-големият инцидент със сигурността в историята на компанията, който може да ѝ струва до 400 милиона долара.

Нарушението е забележително не само с мащаба си, но и с начина, по който хакерите са го извършили: Подкупване на агенти от отдела за обслужване на клиенти в чужбина, за да споделят поверителни данни за клиентите.

Coinbase реагира, като публично обяви награда от 20 млн. долара за тези, които са откраднали данните и са се опитали да изнудват компанията, за да не разкриват инцидента. Но тя сподели малко подробности кой е извършил атаката или как хакерите са успели да се насочат толкова успешно към нейните агенти.

Разследване на Fortune, включващо преглед на имейли между Coinbase и един от хакерите, разкрива нови подробности, които силно подсказват, че отчасти отговорна е хлабава мрежа от млади англоговорящи хакери. Междувременно констатациите подчертават и ролята на т.нар. звена за аутсорсинг на бизнес процеси (BPO) като слабост в операциите за сигурност на технологичните компании.

Администрацията на Тръмп „се движи бързо, за да изпълни обещанието си да превърне САЩ в криптостолица на планетата, а световните лидери забелязват това и увеличават вниманието и инвестициите си в крипто“, казва Coinbase

Coinbase удвоява приходите, GameStop флиртува с биткойн – криптопазарът се готви за силна вълна

Вътрешни афери

Историята започва с малка, но публично търгувана компания, базирана в Ню Браунфелс, Тексас, наречена TaskUs.

Подобно на други BPO, тя предоставя услуги на клиентите на големите технологични компании на ниска цена, като наема персонал в чужбина. През януари TaskUs уволнява 226 служители, работещи за Coinbase от центъра си за услуги в Индор, Индия, според говорител на компанията.

От 2017 г. TaskUs предоставя на Coinbase персонал за обслужване на клиенти – споразумение, което носи на американския крипто гигант значителни икономии от разходи за труд, според подадената до Комисията по ценните книжа и фондовите борси информация.

Но има и уловка: Когато клиентите изпращат имейл, за да попитат за сметките си или за нов продукт на Coinbase, те вероятно говорят с чуждестранен служител на TaskUs. И тъй като тези агенти получават ниски заплати в сравнение със служителите в САЩ, се оказват податливи на подкупи.

Verizon Communications, AT&T и Lumen Technologies са сред телекомуникационните компании, чиито мрежи са били разбити при наскоро откритото проникване, според източниците на медията

WSJ: Китайски хакери са проникнали в системите за подслушване на американското правителство

„В началото на тази година идентифицирахме две лица, които получиха незаконен достъп до информация от един от нашите клиенти“, заяви говорител на TaskUs пред Fortune във връзка с Coinbase. „Смятаме, че тези две лица са били вербувани от много по-широка, координирана престъпна кампания срещу този клиент, която е засегнала и редица други доставчици, обслужващи този клиент.“

Уволненията на TaskUs през януари се случват по-малко от месец, след като Coinbase разкрива кражба на клиентски данни. Във вторник федерален колективен иск, подаден в Ню Йорк от името на клиенти на Coinbase, обвини TaskUs в небрежност при защитата на данните.

„Въпреки че не можем да коментираме съдебни спорове, смятаме, че исковете са неоснователни и възнамеряваме да се защитим“, заяви говорител на TaskUs. „Придаваме най-висок приоритет на опазването на данните на нашите клиенти и продължаваме да укрепваме нашите глобални протоколи за сигурност и програми за обучение.“

Гигантът в електронната търговия категорично отрича това да е истина

Хакери твърдят, че са откраднали 87 млн. клиентски записа от Temu

Източник, запознат с инцидента със сигурността, пожелал анонимност, заяви, че хакерите са се насочили и към други BPO, в някои случаи успешно, и естеството на откраднатите данни варира в зависимост от всяка атака.

Откраднатите данни не са били достатъчни на хакерите, за да проникнат в криптохранилищата на Coinbase. Но те предоставят богата информация, която им помага да се представят за фалшиви агенти на Coinbase, като се свързват с клиенти и ги убеждават да предадат криптосредствата си. Компанията твърди, че хакерите са откраднали данните на над 69 000 клиенти, но не казва колко са били жертви на т.нар. измами със социално инженерство.

Социално-инженерните измами в този случай са включвали хакери, използващи откраднатите данни, за да се представят за служители на Coinbase и да убеждават жертвите да прехвърлят криптоактивите си.

„Уведомихме засегнатите потребители и регулаторните органи, прекъснахме връзките със замесения персонал на TaskUs и други чуждестранни агенти и затегнахме контрола“, се казва в изявлението на Coinbase, като се добавя, че възстановява средства на клиентите, които са ги загубили при измамите.

Ако хакери купят неработещите домейни на фалирал стартъп, те могат да ги използват, за да влязат в облачните софтуери, използвани от него

Служителите на фалирали стартъпи са особено заплашени от кражба на лични данни

Coinbase също така заяви, че цифрата от 400 млн. долара, която е посочила публично като обща стойност на нарушението, е в горния край на нейните оценки, а долната граница е 180 млн. долара.

Макар че измамите със социално инженерство не са нещо ново, мащабът, в който хакерите са се насочили към BPO, изглежда е нов. И макар че никой не е идентифицирал окончателно извършителите, редица улики сочат към слабо свързана мрежа от млади англоговорящи хакери.

Те идват от видеоигрите

В дните след разкриването на пробива в средата на май, Fortune разменя съобщения в Telegram с лице, което нарича себе си puffy party и твърди, че е един от хакерите.

Двама други изследователи по сигурността, които са разговаряли с анонимния хакер, заявиха пред Fortune, че смятат лицето за достоверно. В размяната на информация лицето споделя множество скрийншоти на имейли, които според него са били изпратени до екипа по сигурността на Coinbase. Името, което са използвали за комуникация с компанията, е „Ленард Шрьодер“. Те също така споделят скрийншоти на акаунт в Coinbase, принадлежащ на бивш изпълнителен директор, който показва крипто транзакции и обширни лични данни.

Coinbase не отрече автентичността на скрийншотите.

Profit.bg

Северна Корея е обрала рекорден брой криптоплатформи през 2023

Имейлите, споделени от предполагаемия хакер, включват заплаха за изнудване за 20 млн. долара в биткойни, които Coinbase отказа да плати, и подигравателни коментари за това как хакерската група ще използва част от приходите, за да купи коса за Брайън Армстронг, плешивия главен изпълнителен директор. „Готови сме да спонсорираме трансплантация на коса“, пишат хакерите.

В съобщенията в Telegram предполагаемият хакер изразява презрение към Coinbase.

Много криптограбежи се извършват от руски престъпни банди или севернокорейски военни, но предполагаемият хакер твърди, че работата е дело на свободно сдружение на тийнейджъри и 20-годишни потребители, наричани „Comm“ или „Com“, съкращение от Community.

През последните две години съобщения за Comm се появиха в медийни доклади за други хакерски инциденти, включително в статия на New York Times от началото на този месец, в която един от предполагаемите извършители на серия кражби на криптовалути се идентифицира като член на групата.

Всичко започва в началото на 2021 г., когато частен самолет, превозващ млад руски олигарх и съпругата му, каца на малкото летище Сион високо в швейцарските Алпи

Търговецът на Путин: Руският хакер, който задигна милиони от американски инвеститори

През 2023 г. пък хакери, които разследващите определят като част от Comm, се насочват към онлайн операциите на няколко казина в Лас Вегас и се опитват да изнудят MGM Resorts за 30 млн. долара, според Wall Street Journal.

За разлика от руските и севернокорейските криптохакери, които обикновено търсят пари, членовете на Comm често са мотивирани и от стремеж към внимание или от тръпката от злодеянието. Понякога те си сътрудничат, но и се конкурират помежду си в стремеж кой да открадне повече.

„Те идват от видеоигрите, а след това пренасят високите си резултати в реалния свят“, казва Джош Купър-Дъкет, директор на разследванията в Cryptoforensic Investigators. „И високият им резултат в този свят е колко пари крадат.“

След запитване от WIRED, Telegram закри хиляди акаунти, използвани за пране на пари от крипто измами, включително тези на Haowang Guarantee, черен пазар, който е ползван дори и за трафик на хора

Telegram закри най-големия цифров черен пазар с оборот от $27 млрд.

В съобщенията в Telegram предполагаемият хакер казва, че членовете на Comm се специализират в различни етапи на обира. Екипът на хакера е подкупил агентите от отдела за поддръжка на клиенти и е събрал данните на клиентите, които е предоставил на други лица извън групата, добре запознати с измамите чрез социално инженерство. Различните групи, свързани с Comm, са се координирали в социални платформи като Telegram и Discord как да извършат операцията и са се споразумели да си поделят приходите.

Серхио Гарсия, основател на компанията за крипто разследвания Tracelon, заяви пред Fortune, че описанието на хакера за експлойта на Coinbase отразява наблюденията му за начина, по който работи Comm, и за други крипто измами със социален инженеринг. Човек, запознат с инцидентите в областта на сигурността, заяви, че лицата, които са се насочили към клиентите в последните измами със социално инженерство, са говорили на неакцентиран северноамерикански английски.

Според източник, запознат със заплатите на служителите от BPO, на тези от TaskUs в Индия се плаща между 500 и 700 долара на месец. TaskUs отказа коментар. Въпреки че това е повече от брутния вътрешен продукт на човек в Индия, ниските заплати на агентите по поддръжка на клиенти често ги правят по-податливи на подкупи, казва Гарсия пред Fortune. „Очевидно това е най-слабата точка във веригата, защото има икономическа причина да приемат подкупа“, допълва той.