1 điểm bởi GN⁺ 2025-05-16 | 1 bình luận | Chia sẻ qua WhatsApp
  • Coinbase công bố một sự cố trong đó nhân sự hỗ trợ ở nước ngoài bị mua chuộc, dẫn đến dữ liệu khách hàng bị lấy cắp; kẻ tấn công định dùng dữ liệu này cho tấn công social engineering, và chi phí khắc phục ước tính có thể lên tới 400 triệu USD
  • Kẻ tấn công tuyên bố đã có được một số thông tin tài khoản khách hàng và tài liệu nội bộ vào ngày 11/5, đồng thời yêu cầu 20 triệu USD để đổi lấy việc không công khai chúng
  • Dữ liệu bị rò rỉ bao gồm tên, thông tin liên hệ, thông tin tài khoản ngân hàng đã được che một phần, ảnh giấy tờ tùy thân, số dư tài khoản, v.v., nhưng mật khẩu, khóa riêng tư và tiền không bị lộ; tài khoản Coinbase Prime cũng không bị ảnh hưởng
  • Coinbase từ chối trả tiền chuộc và đang phối hợp với cơ quan thực thi pháp luật; công ty đã sa thải các nhân viên liên quan, cảnh báo những khách hàng có khả năng bị ảnh hưởng và tăng cường bảo vệ giám sát gian lận
  • Công ty treo thưởng 20 triệu USD cho thông tin dẫn đến việc bắt giữ và kết án những người chịu trách nhiệm vụ tấn công, đồng thời cho biết sẽ hoàn tiền cho các khách hàng đã bị kẻ tấn công lừa chuyển tiền

Đánh cắp dữ liệu do mua chuộc nhân sự hỗ trợ ở nước ngoài

  • Theo Coinbase, tội phạm mạng đã mua chuộc các nhân viên hỗ trợ ở nước ngoài để đánh cắp dữ liệu khách hàng và định dùng dữ liệu này cho tấn công social engineering
  • Chi phí khắc phục sự cố lần này có thể lên tới 400 triệu USD
  • Cổ phiếu Coinbase giảm hơn 6% trong phiên giao dịch buổi sáng

Yêu cầu 20 triệu USD và phản ứng của Coinbase

  • Coinbase nhận được email vào ngày 11/5, trong đó kẻ gửi tuyên bố đã có được một số thông tin tài khoản khách hàng và tài liệu nội bộ
    • Công ty báo cáo trong hồ sơ nộp SEC rằng tài liệu nội bộ bao gồm các tài liệu liên quan đến dịch vụ khách hàng và hệ thống quản lý tài khoản
  • Kẻ tấn công yêu cầu 20 triệu USD để đổi lấy việc không công khai thông tin đó
  • Coinbase không trả tiền chuộc và đang điều tra vụ việc cùng cơ quan thực thi pháp luật
  • Trong bài viết trên blog, công ty cho biết thay vì chấp nhận yêu cầu, họ lập quỹ thưởng 20 triệu USD cho thông tin dẫn đến việc bắt giữ và kết án tội phạm

Thông tin bị lộ và phạm vi ảnh hưởng

  • Dữ liệu bị ảnh hưởng bao gồm thông tin khách hàng nhạy cảm
    • Tên, địa chỉ, số điện thoại, email
    • Số tài khoản ngân hàng và mã định danh đã được che một phần
    • 4 chữ số cuối của số Social Security
    • Ảnh giấy tờ tùy thân do chính phủ cấp
    • Số dư tài khoản
  • Mật khẩu, khóa riêng tư và tiền không bị lộ
  • Tài khoản Coinbase Prime không bị ảnh hưởng
  • Những khách hàng bị kẻ tấn công lừa chuyển tiền dự kiến sẽ được hoàn tiền

Lạm dụng quyền truy cập nội bộ và phát hiện từ trước

  • Kẻ tấn công đã dùng tiền mua chuộc các nhà thầu ở nước ngoài và nhân viên trong vai trò hỗ trợ để lấy thông tin
  • Những người nội bộ bị mua chuộc đã lạm dụng quyền truy cập vào hệ thống hỗ trợ khách hàng để đánh cắp dữ liệu của một số tài khoản khách hàng
  • Coinbase đã tự phát hiện các vụ xâm nhập trong vài tháng trước đó và lập tức sa thải các nhân viên liên quan
  • Công ty đã cảnh báo những khách hàng có khả năng bị truy cập thông tin và tăng cường bảo vệ giám sát gian lận

Diễn biến kinh doanh gần đây của Coinbase

  • Coinbase vận hành sàn giao dịch tiền mã hóa lớn nhất tại Mỹ
  • Trong tuần gần đây, công ty công bố một thương vụ mua lại được kỳ vọng sẽ hỗ trợ mở rộng toàn cầu, đồng thời việc được đưa vào S&P 500 từ tuần tới cũng đã được xác nhận
  • Trong cuộc họp công bố kết quả kinh doanh tuần trước, CEO Brian Armstrong nói về mục tiêu đưa Coinbase trở thành ứng dụng dịch vụ tài chính số 1 thế giới trong 5–10 năm tới

1 bình luận

 
GN⁺ 2025-05-16
Ý kiến trên Hacker News
  • Liên kết bản công bố gốc gửi SEC: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • Tôi liên tục nhận được các cuộc gọi spear phishing từ phía này hoặc từ ai đó đã mua dữ liệu bị rò rỉ
    Đây là chiêu trò điển hình kiểu nói rằng cần xác minh một giao dịch có khả năng gian lận, họ nói tiếng Anh hoàn hảo với giọng Mỹ, nghe rất thân thiện và còn biết cả số dư tài khoản
    May là ngay cuộc gọi đầu tiên tôi đã nhận ra đó là lừa đảo, còn những cuộc sau thì tính năng sàng lọc cuộc gọi của Google chặn khá tốt
    Nếu có thể thì tôi muốn chuyển thẳng chúng cho Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg

    • Nếu trước vụ rò rỉ này bạn từng để một lượng tài sản đáng kể trên Coinbase, thì spear phishing là điều ít đáng lo nhất
      Coinbase không chỉ để lộ tên và địa chỉ, mà cả số dư, lịch sử giao dịch, ảnh giấy tờ tùy thân do chính phủ cấp; những người có số dư tiền mã hóa lớn đang bị tấn công ngoài đường hoặc tại nhà, hoặc gia đình bị bắt cóc đòi tiền chuộc
      Ở đây “lớn” có thể chỉ là 10.000 USD hoặc ít hơn
      Cho đến nay, cách phòng vệ tốt nhất là giữ bí mật, không công khai nói về tiền mã hóa theo cách có thể gắn với danh tính thật; nhưng nhờ Coinbase, tuyến phòng thủ đó đã biến mất
      Kẻ xấu có thể biết ai từng có số dư đáng kể trên Coinbase, người đó đã quy đổi ra tiền mặt hay chưa và với số tiền bao nhiêu, cũng như có từng chuyển token ra ví riêng ngoài sàn hay không
      Giờ chúng biết ai đáng để bắt cóc và người đó sống ở đâu; chỉ cần tìm tên và địa chỉ nhà trên Google là thường cũng ra tên các thành viên gia đình có thể bị đe dọa hoặc bắt cóc
      Coinbase có lẽ sẽ không bị buộc phải bồi thường toàn bộ chi phí thiệt hại thực tế, vì số tiền đó có thể đủ khiến công ty phá sản
    • Tôi đã chuyển từ Pixel sang iPhone và bị sốc vì có quá nhiều cuộc gọi spam
      Không biết người dùng iPhone xử lý chuyện này thế nào
    • Tôi bắt đầu thường xuyên nhận được tin nhắn mã xác nhận đăng nhập Coinbase dù bản thân chưa hề thử đăng nhập
      Tài khoản Microsoft của tôi cũng vậy
      Thường thì tôi chỉ bỏ qua, nhưng có vẻ ai đó đang thử xem có đăng nhập được bằng email của tôi không
    • Tôi tò mò không biết các cuộc gọi spear phishing kiểu này đã tăng lên từ bao giờ
      Thật khó tin khi Coinbase giải thích rằng cho đến lúc được “tội phạm mạng” liên hệ, họ vẫn chưa xem đây là một vấn đề mang tính hệ thống
    • Sau AI, các vụ lừa đảo đã tinh vi hơn, và những lỗi chính tả phổ biến hầu như biến mất
      Gần đây vì tò mò tôi xem một email phishing và phát hiện một ký tự Unicode kỳ lạ bị dịch sai, lập tức nhận ra đó là dấu vết của bản dịch tệ
      Không hoàn hảo, nhưng được làm khá tốt
  • Vấn đề là dữ liệu bị rò rỉ trông giống loại dữ liệu dùng để khôi phục tài khoản
    Nghĩa là nếu bạn mất quyền truy cập tài khoản, dù do lỗi của bạn hay của Coinbase, quy trình khôi phục có thể không còn đơn giản nữa, và hacker cũng có thể dùng thông tin bị rò rỉ này để thử “khôi phục” tài khoản
    Coinbase cần có chi nhánh ngoại tuyến. Cần có nơi để trực tiếp xử lý những việc như khôi phục tài khoản, đồng thời bắt và truy tố những kẻ định trộm tiền; đó cũng sẽ là rào cản lớn với những tên trộm thường hoạt động từ nước ngoài
    Giải pháp duy nhất ở đây là xác thực hai yếu tố bằng phần cứng như YubiKey

    • Ngành tiền mã hóa đang liên tục tái khám phá rất nhanh lý do vì sao hệ thống tài chính toàn cầu tồn tại
      Những gì vừa mô tả chính là thứ mà nhiều người ủng hộ tiền mã hóa gọi là ngân hàng
    • Đó đơn giản là ngân hàng thôi
    • Nếu làm mất thiết bị xác thực hai yếu tố bằng phần cứng như YubiKey thì phải làm gì? Chẳng phải cuối cùng lại quay về bước khôi phục tài khoản sao?
    • Nếu bạn từng gửi tiền vào một ví do mình kiểm soát, có thể yêu cầu ký một thông điệp bằng khóa đó và để Coinbase xác minh với địa chỉ đã ghi nhận; đây có thể là một yếu tố khôi phục đáng tin cậy
      Dù sao thì tiền mã hóa cũng là một hạ tầng khóa công khai khác
    • 99% dữ liệu dùng để khôi phục tài khoản là hồ sơ công khai hoặc thông tin đã nằm trong hàng chục vụ rò rỉ dữ liệu lớn
  • Tôi đã liên hệ bộ phận hỗ trợ khách hàng của Coinbase để kiểm tra xem mình có bị ảnh hưởng không
    Sau khi lãng phí thời gian với bot AI, tôi được nối với người thật, nhưng nhân viên đó không biết gì về vụ rò rỉ và tôi là người đầu tiên báo cho họ biết

    • Họ đã gửi email cho các tài khoản bị ảnh hưởng
      Nguồn: tôi bị ảnh hưởng
    • Bạn đã nghe đúng kịch bản kiểu “ồ, chúng tôi không biết và quý khách là người đầu tiên báo cho chúng tôi” rồi
  • Lý do Coinbase phải lưu giữ nhiều thông tin nhạy cảm hơn rất nhiều so với mức cần thiết cho xác minh danh tính và xác thực là vì quy định KYC
    Ảnh hộ chiếu bị đánh cắp, và dù tội phạm hay nhân viên Coinbase có ác ý làm gì với thông tin đó, một phần trách nhiệm nên “cảm ơn” chính phủ

    • KYC có những lý do hoàn toàn chính đáng
      Vấn đề ở đây không phải là quy định của chính phủ, mà là một công ty tư nhân xử lý dữ liệu khách hàng một cách cẩu thả
      Làm cẩu thả thì rẻ, và thông tin gặp rủi ro không phải của công ty mà là của khách hàng, nên nếu luật không bắt buộc thì động lực bảo vệ nghiêm túc là rất nhỏ
    • Đây là cách đẩy trách nhiệm quá dễ dàng
      Họ cần giải thích thẳng thắn vì sao mọi nhân viên hỗ trợ đều phải có quyền truy cập vĩnh viễn vào giấy tờ xác minh danh tính
      Những giấy tờ đó chỉ cần cho KYC thôi
  • Coinbase có vẻ đang khá cố gắng tách mình khỏi cái gọi là “nhân viên hỗ trợ độc hại ở nước ngoài”
    Nếu họ là nhân viên hoặc nhà thầu của Coinbase, thì về thực chất công ty đã bán dữ liệu của chính mình cho hacker, rồi hacker quay lại đòi tiền chuộc
    Bồi thường cho những khách hàng bị lừa chuyển tiền là hợp lý, vì lập luận kiện tụng rằng hành vi của Coinbase dẫn đến thiệt hại có vẻ khá rõ ràng
    Điều tôi tò mò hơn là liệu những người cảm thấy cần chuyển nhà, đổi ngân hàng, đổi email, thuê nhân sự bảo vệ, v.v. có thắng kiện để yêu cầu công ty chi trả một phần hoặc toàn bộ các chi phí đó hay không

    • Cách diễn giải như vậy thì lạ
      Nếu nhân viên công ty vi phạm chính sách, có lẽ là bất hợp pháp khi lấy dữ liệu nội bộ của công ty rồi nhận tiền để chuyển cho hacker, thì khó có thể nói là “công ty chúng tôi đã bán dữ liệu”
  • Bài viết trên blog của Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
    Họ nói sẽ bồi thường cho những khách hàng bị lừa chuyển tiền cho kẻ tấn công thông qua tấn công social engineering, và những khách hàng có dữ liệu bị truy cập thì đã được gửi email từ no-reply@info.coinbase.com
    Họ cũng nói tất cả thông báo gửi cho khách hàng bị ảnh hưởng đã được gửi vào 7:20 sáng giờ miền Đông ngày 15/5

    • Việc dùng no-reply là một quyết định thú vị
      Tôi hiểu vận hành một công ty như Coinbase là khó, nhưng những điểm mạnh lớn nhất là tính tập trung và hỗ trợ khách hàng cũng chính là các yếu tố khiến kiểu social engineering này khả thi, nên đây có vẻ là một lựa chọn hơi kỳ lạ
    • Họ nói “mật khẩu, khóa riêng tư, tiền không bị lộ và tài khoản Coinbase Prime không bị ảnh hưởng”, nhưng tôi thắc mắc vì sao tài khoản Coinbase Prime lại không nằm trong vụ rò rỉ
      Không rõ đằng sau tường phí Coinbase Prime có thêm một lớp bảo vệ dữ liệu nào đó, hay họ cố tình tránh vì khả năng cao đó là những người dùng thành thạo hơn
  • Theo mô tả vụ rò rỉ, có vẻ kẻ tấn công đã trả tiền cho nhiều nhà thầu hoặc nhân viên làm công việc hỗ trợ bên ngoài nước Mỹ, để họ thu thập thông tin từ các hệ thống nội bộ của Coinbase mà họ có quyền truy cập phục vụ công việc
    Nhìn vào thông tin bị rò rỉ, nguồn có khả năng cao là bộ phận hỗ trợ khách hàng ở Philippines
    Lương thường dưới 1.000 đô la mỗi tháng, và vị trí mới vào nghề có thể chưa tới 500 đô la, nên khoản hối lộ 5.000 đô la có thể tương đương hơn một năm thu nhập không chịu thuế
    Nếu nghĩ đến số tiền có thể kiếm được từ bộ dữ liệu này thì đó là một khoản đầu tư nhỏ
    Các mục bị rò rỉ gồm tên, địa chỉ, số điện thoại, email, 4 chữ số cuối của số an sinh xã hội đã được che, số tài khoản ngân hàng đã được che và một số định danh ngân hàng, ảnh giấy tờ tùy thân do chính phủ cấp như bằng lái xe・hộ chiếu, snapshot số dư và lịch sử giao dịch, cùng một số tài liệu công ty・tài liệu đào tạo・trao đổi liên lạc mà nhân viên hỗ trợ có thể xem
    Đây là loại dữ liệu mà mọi kẻ tấn công đều mơ ước, và chỉ riêng địa chỉ email cùng số dư tài khoản cũng đã là ác mộng
    Thay vì tống tiền công ty, chúng có thể tống tiền trực tiếp từng người dùng. Kiểu như “gửi 50% BTC của mày, tao sẽ không công khai toàn bộ thông tin của mày lên Internet”
    Có vẻ tình huống sẽ giống vụ rò rỉ dữ liệu Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • Tống tiền từng người dùng có thể chỉ là một trong những mối lo nhỏ nhất
      Ở Pháp, kể từ đầu năm nay đã có ít nhất 5 vụ bắt cóc và âm mưu bắt cóc liên quan đến nhà đầu tư tiền mã hóa
    • Còn nghiêm trọng hơn
      Các công ty Mỹ thuê ngoài hỗ trợ khách hàng ở Philippines và trả 3–6 đô la mỗi giờ
      Các nhà cung cấp dịch vụ có tỷ lệ nghỉ việc rất cao, có công ty thời gian làm việc trung bình của nhân viên chỉ khoảng 6 tháng
      Họ chẳng có lý do gì để trung thành cả
    • Cũng gần như không có quy định của chính phủ về AI, không có hình phạt cho rò rỉ dữ liệu, và không có cơ chế bảo vệ con người khỏi lạm dụng quy mô lớn
      Thậm chí đang đi theo hướng ngược lại
      Tôi nghĩ những cú sốc như thế này sẽ khiến nước Mỹ sớm rơi vào hỗn loạn
    • Điểm cốt lõi không chỉ là mức lương thấp ở Philippines, mà là ai cũng có cái giá của mình
      Nếu ở Mỹ thì cái giá đó sẽ cao hơn nhiều, nhưng lợi ích thu được từ cuộc tấn công có lẽ cũng sẽ được điều chỉnh theo hướng lớn hơn
  • Dù nhìn Coinbase thế nào, phản ứng lần này có vẻ khá ổn
    Họ không trả khoản tiền chuộc 20 triệu đô la, mà thay vào đó treo phần thưởng 20 triệu đô la cho thông tin dẫn đến việc bắt giữ và kết án những người chịu trách nhiệm

    • Hoàn toàn không ổn
      Tiêu đề là “Protecting Our Customers - Standing Up to Extortionists”, nhưng vấn đề là họ đã viết thông cáo theo cách khiến mọi người khen ngợi, trong khi đáng ra phải xin lỗi vì làm lộ thông tin cá nhân
      Chính điểm này khiến tôi thật sự tức giận
      Hơn nữa, email tôi nhận được có tiêu đề “important notice”, và việc tài khoản cá nhân của tôi bị ảnh hưởng nằm ở câu thứ ba của một đoạn văn dài dòng
      Chẳng có gì trong đó là ổn, và đây không phải là cách một công ty nghiêm túc xử lý vụ việc
    • Đây là chiêu giống trong phim Ransom năm 1996: https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • Tôi thích vậy
      Những khoảnh khắc như thế này cũng là cơ hội tốt để tạm rời khỏi lối văn doanh nghiệp và nói kiểu “biến đi, lũ hacker khốn kiếp!”
      Ngay cả người sống ở Bible Belt cũng công nhận một câu chửi đúng lúc
    • Từ góc nhìn khách hàng, có thể tốt hơn nếu trả tiền chuộc và lấy lại thông tin định danh cá nhân
      Nếu lập thêm chương trình treo thưởng thì tốt, nhưng nếu là dữ liệu của tôi, tôi quan tâm đến việc Coinbase giảm phạm vi rò rỉ hơn là chơi trò treo thưởng trả đũa
  • Việc Coinbase ngay từ đầu phải giữ những thông tin như vậy vì quy định Know Your Customer thật sự là điều rất đáng tiếc
    Chúng ta cần thiết lập một chuẩn mực xã hội mạnh mẽ rằng không chia sẻ thông tin định danh cá nhân nếu không có lý do chính đáng
    Đây không chỉ là nguy cơ trộm cắp cá nhân mà còn là nguy cơ an ninh quốc gia
    Coinbase không đóng tiền vào tài khoản Social Security của tôi, nên họ không nên có số Social Security của tôi; họ không đến nhà tôi, nên họ không nên có địa chỉ của tôi
    Trong lịch sử, quy định Know Your Customer phổ biến ở các nước thuộc khối cộng sản, nhưng ở hầu hết các nền dân chủ thì trước 9/11 gần như khó tưởng tượng
    9/11 đã tạo cơ hội hoàn hảo để các cơ quan tình báo đưa danh sách họ muốn vào luật, và đáng tiếc là điều này có lợi cho các cơ quan tình báo nước ngoài không kém, thậm chí có thể hơn cả cơ quan tình báo trong nước
    Có thể xem thời điểm các nước khác nhau áp dụng tại đây: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • Tôi muốn nghe xem liệu bạn có còn lặp lại quan điểm đó sau khi tài khoản Coinbase của bạn bị chiếm và bạn phải tìm biện pháp khắc phục hay không