Coinbase: hacker mua chuộc nhân viên để đánh cắp dữ liệu khách hàng rồi đòi tiền chuộc 20 triệu USD
(cnbc.com)- Coinbase công bố một sự cố trong đó nhân sự hỗ trợ ở nước ngoài bị mua chuộc, dẫn đến dữ liệu khách hàng bị lấy cắp; kẻ tấn công định dùng dữ liệu này cho tấn công social engineering, và chi phí khắc phục ước tính có thể lên tới 400 triệu USD
- Kẻ tấn công tuyên bố đã có được một số thông tin tài khoản khách hàng và tài liệu nội bộ vào ngày 11/5, đồng thời yêu cầu 20 triệu USD để đổi lấy việc không công khai chúng
- Dữ liệu bị rò rỉ bao gồm tên, thông tin liên hệ, thông tin tài khoản ngân hàng đã được che một phần, ảnh giấy tờ tùy thân, số dư tài khoản, v.v., nhưng mật khẩu, khóa riêng tư và tiền không bị lộ; tài khoản Coinbase Prime cũng không bị ảnh hưởng
- Coinbase từ chối trả tiền chuộc và đang phối hợp với cơ quan thực thi pháp luật; công ty đã sa thải các nhân viên liên quan, cảnh báo những khách hàng có khả năng bị ảnh hưởng và tăng cường bảo vệ giám sát gian lận
- Công ty treo thưởng 20 triệu USD cho thông tin dẫn đến việc bắt giữ và kết án những người chịu trách nhiệm vụ tấn công, đồng thời cho biết sẽ hoàn tiền cho các khách hàng đã bị kẻ tấn công lừa chuyển tiền
Đánh cắp dữ liệu do mua chuộc nhân sự hỗ trợ ở nước ngoài
- Theo Coinbase, tội phạm mạng đã mua chuộc các nhân viên hỗ trợ ở nước ngoài để đánh cắp dữ liệu khách hàng và định dùng dữ liệu này cho tấn công social engineering
- Chi phí khắc phục sự cố lần này có thể lên tới 400 triệu USD
- Cổ phiếu Coinbase giảm hơn 6% trong phiên giao dịch buổi sáng
Yêu cầu 20 triệu USD và phản ứng của Coinbase
- Coinbase nhận được email vào ngày 11/5, trong đó kẻ gửi tuyên bố đã có được một số thông tin tài khoản khách hàng và tài liệu nội bộ
- Công ty báo cáo trong hồ sơ nộp SEC rằng tài liệu nội bộ bao gồm các tài liệu liên quan đến dịch vụ khách hàng và hệ thống quản lý tài khoản
- Kẻ tấn công yêu cầu 20 triệu USD để đổi lấy việc không công khai thông tin đó
- Coinbase không trả tiền chuộc và đang điều tra vụ việc cùng cơ quan thực thi pháp luật
- Trong bài viết trên blog, công ty cho biết thay vì chấp nhận yêu cầu, họ lập quỹ thưởng 20 triệu USD cho thông tin dẫn đến việc bắt giữ và kết án tội phạm
Thông tin bị lộ và phạm vi ảnh hưởng
- Dữ liệu bị ảnh hưởng bao gồm thông tin khách hàng nhạy cảm
- Tên, địa chỉ, số điện thoại, email
- Số tài khoản ngân hàng và mã định danh đã được che một phần
- 4 chữ số cuối của số Social Security
- Ảnh giấy tờ tùy thân do chính phủ cấp
- Số dư tài khoản
- Mật khẩu, khóa riêng tư và tiền không bị lộ
- Tài khoản Coinbase Prime không bị ảnh hưởng
- Những khách hàng bị kẻ tấn công lừa chuyển tiền dự kiến sẽ được hoàn tiền
Lạm dụng quyền truy cập nội bộ và phát hiện từ trước
- Kẻ tấn công đã dùng tiền mua chuộc các nhà thầu ở nước ngoài và nhân viên trong vai trò hỗ trợ để lấy thông tin
- Những người nội bộ bị mua chuộc đã lạm dụng quyền truy cập vào hệ thống hỗ trợ khách hàng để đánh cắp dữ liệu của một số tài khoản khách hàng
- Coinbase đã tự phát hiện các vụ xâm nhập trong vài tháng trước đó và lập tức sa thải các nhân viên liên quan
- Công ty đã cảnh báo những khách hàng có khả năng bị truy cập thông tin và tăng cường bảo vệ giám sát gian lận
Diễn biến kinh doanh gần đây của Coinbase
- Coinbase vận hành sàn giao dịch tiền mã hóa lớn nhất tại Mỹ
- Trong tuần gần đây, công ty công bố một thương vụ mua lại được kỳ vọng sẽ hỗ trợ mở rộng toàn cầu, đồng thời việc được đưa vào S&P 500 từ tuần tới cũng đã được xác nhận
- Trong cuộc họp công bố kết quả kinh doanh tuần trước, CEO Brian Armstrong nói về mục tiêu đưa Coinbase trở thành ứng dụng dịch vụ tài chính số 1 thế giới trong 5–10 năm tới
1 bình luận
Ý kiến trên Hacker News
Liên kết bản công bố gốc gửi SEC: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
Tôi liên tục nhận được các cuộc gọi spear phishing từ phía này hoặc từ ai đó đã mua dữ liệu bị rò rỉ
Đây là chiêu trò điển hình kiểu nói rằng cần xác minh một giao dịch có khả năng gian lận, họ nói tiếng Anh hoàn hảo với giọng Mỹ, nghe rất thân thiện và còn biết cả số dư tài khoản
May là ngay cuộc gọi đầu tiên tôi đã nhận ra đó là lừa đảo, còn những cuộc sau thì tính năng sàng lọc cuộc gọi của Google chặn khá tốt
Nếu có thể thì tôi muốn chuyển thẳng chúng cho Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase không chỉ để lộ tên và địa chỉ, mà cả số dư, lịch sử giao dịch, ảnh giấy tờ tùy thân do chính phủ cấp; những người có số dư tiền mã hóa lớn đang bị tấn công ngoài đường hoặc tại nhà, hoặc gia đình bị bắt cóc đòi tiền chuộc
Ở đây “lớn” có thể chỉ là 10.000 USD hoặc ít hơn
Cho đến nay, cách phòng vệ tốt nhất là giữ bí mật, không công khai nói về tiền mã hóa theo cách có thể gắn với danh tính thật; nhưng nhờ Coinbase, tuyến phòng thủ đó đã biến mất
Kẻ xấu có thể biết ai từng có số dư đáng kể trên Coinbase, người đó đã quy đổi ra tiền mặt hay chưa và với số tiền bao nhiêu, cũng như có từng chuyển token ra ví riêng ngoài sàn hay không
Giờ chúng biết ai đáng để bắt cóc và người đó sống ở đâu; chỉ cần tìm tên và địa chỉ nhà trên Google là thường cũng ra tên các thành viên gia đình có thể bị đe dọa hoặc bắt cóc
Coinbase có lẽ sẽ không bị buộc phải bồi thường toàn bộ chi phí thiệt hại thực tế, vì số tiền đó có thể đủ khiến công ty phá sản
Không biết người dùng iPhone xử lý chuyện này thế nào
Tài khoản Microsoft của tôi cũng vậy
Thường thì tôi chỉ bỏ qua, nhưng có vẻ ai đó đang thử xem có đăng nhập được bằng email của tôi không
Thật khó tin khi Coinbase giải thích rằng cho đến lúc được “tội phạm mạng” liên hệ, họ vẫn chưa xem đây là một vấn đề mang tính hệ thống
Gần đây vì tò mò tôi xem một email phishing và phát hiện một ký tự Unicode kỳ lạ bị dịch sai, lập tức nhận ra đó là dấu vết của bản dịch tệ
Không hoàn hảo, nhưng được làm khá tốt
Vấn đề là dữ liệu bị rò rỉ trông giống loại dữ liệu dùng để khôi phục tài khoản
Nghĩa là nếu bạn mất quyền truy cập tài khoản, dù do lỗi của bạn hay của Coinbase, quy trình khôi phục có thể không còn đơn giản nữa, và hacker cũng có thể dùng thông tin bị rò rỉ này để thử “khôi phục” tài khoản
Coinbase cần có chi nhánh ngoại tuyến. Cần có nơi để trực tiếp xử lý những việc như khôi phục tài khoản, đồng thời bắt và truy tố những kẻ định trộm tiền; đó cũng sẽ là rào cản lớn với những tên trộm thường hoạt động từ nước ngoài
Giải pháp duy nhất ở đây là xác thực hai yếu tố bằng phần cứng như YubiKey
Những gì vừa mô tả chính là thứ mà nhiều người ủng hộ tiền mã hóa gọi là ngân hàng
Dù sao thì tiền mã hóa cũng là một hạ tầng khóa công khai khác
Tôi đã liên hệ bộ phận hỗ trợ khách hàng của Coinbase để kiểm tra xem mình có bị ảnh hưởng không
Sau khi lãng phí thời gian với bot AI, tôi được nối với người thật, nhưng nhân viên đó không biết gì về vụ rò rỉ và tôi là người đầu tiên báo cho họ biết
Nguồn: tôi bị ảnh hưởng
Lý do Coinbase phải lưu giữ nhiều thông tin nhạy cảm hơn rất nhiều so với mức cần thiết cho xác minh danh tính và xác thực là vì quy định KYC
Ảnh hộ chiếu bị đánh cắp, và dù tội phạm hay nhân viên Coinbase có ác ý làm gì với thông tin đó, một phần trách nhiệm nên “cảm ơn” chính phủ
Vấn đề ở đây không phải là quy định của chính phủ, mà là một công ty tư nhân xử lý dữ liệu khách hàng một cách cẩu thả
Làm cẩu thả thì rẻ, và thông tin gặp rủi ro không phải của công ty mà là của khách hàng, nên nếu luật không bắt buộc thì động lực bảo vệ nghiêm túc là rất nhỏ
Họ cần giải thích thẳng thắn vì sao mọi nhân viên hỗ trợ đều phải có quyền truy cập vĩnh viễn vào giấy tờ xác minh danh tính
Những giấy tờ đó chỉ cần cho KYC thôi
Coinbase có vẻ đang khá cố gắng tách mình khỏi cái gọi là “nhân viên hỗ trợ độc hại ở nước ngoài”
Nếu họ là nhân viên hoặc nhà thầu của Coinbase, thì về thực chất công ty đã bán dữ liệu của chính mình cho hacker, rồi hacker quay lại đòi tiền chuộc
Bồi thường cho những khách hàng bị lừa chuyển tiền là hợp lý, vì lập luận kiện tụng rằng hành vi của Coinbase dẫn đến thiệt hại có vẻ khá rõ ràng
Điều tôi tò mò hơn là liệu những người cảm thấy cần chuyển nhà, đổi ngân hàng, đổi email, thuê nhân sự bảo vệ, v.v. có thắng kiện để yêu cầu công ty chi trả một phần hoặc toàn bộ các chi phí đó hay không
Nếu nhân viên công ty vi phạm chính sách, có lẽ là bất hợp pháp khi lấy dữ liệu nội bộ của công ty rồi nhận tiền để chuyển cho hacker, thì khó có thể nói là “công ty chúng tôi đã bán dữ liệu”
Bài viết trên blog của Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
Họ nói sẽ bồi thường cho những khách hàng bị lừa chuyển tiền cho kẻ tấn công thông qua tấn công social engineering, và những khách hàng có dữ liệu bị truy cập thì đã được gửi email từ no-reply@info.coinbase.com
Họ cũng nói tất cả thông báo gửi cho khách hàng bị ảnh hưởng đã được gửi vào 7:20 sáng giờ miền Đông ngày 15/5
Tôi hiểu vận hành một công ty như Coinbase là khó, nhưng những điểm mạnh lớn nhất là tính tập trung và hỗ trợ khách hàng cũng chính là các yếu tố khiến kiểu social engineering này khả thi, nên đây có vẻ là một lựa chọn hơi kỳ lạ
Không rõ đằng sau tường phí Coinbase Prime có thêm một lớp bảo vệ dữ liệu nào đó, hay họ cố tình tránh vì khả năng cao đó là những người dùng thành thạo hơn
Theo mô tả vụ rò rỉ, có vẻ kẻ tấn công đã trả tiền cho nhiều nhà thầu hoặc nhân viên làm công việc hỗ trợ bên ngoài nước Mỹ, để họ thu thập thông tin từ các hệ thống nội bộ của Coinbase mà họ có quyền truy cập phục vụ công việc
Nhìn vào thông tin bị rò rỉ, nguồn có khả năng cao là bộ phận hỗ trợ khách hàng ở Philippines
Lương thường dưới 1.000 đô la mỗi tháng, và vị trí mới vào nghề có thể chưa tới 500 đô la, nên khoản hối lộ 5.000 đô la có thể tương đương hơn một năm thu nhập không chịu thuế
Nếu nghĩ đến số tiền có thể kiếm được từ bộ dữ liệu này thì đó là một khoản đầu tư nhỏ
Các mục bị rò rỉ gồm tên, địa chỉ, số điện thoại, email, 4 chữ số cuối của số an sinh xã hội đã được che, số tài khoản ngân hàng đã được che và một số định danh ngân hàng, ảnh giấy tờ tùy thân do chính phủ cấp như bằng lái xe・hộ chiếu, snapshot số dư và lịch sử giao dịch, cùng một số tài liệu công ty・tài liệu đào tạo・trao đổi liên lạc mà nhân viên hỗ trợ có thể xem
Đây là loại dữ liệu mà mọi kẻ tấn công đều mơ ước, và chỉ riêng địa chỉ email cùng số dư tài khoản cũng đã là ác mộng
Thay vì tống tiền công ty, chúng có thể tống tiền trực tiếp từng người dùng. Kiểu như “gửi 50% BTC của mày, tao sẽ không công khai toàn bộ thông tin của mày lên Internet”
Có vẻ tình huống sẽ giống vụ rò rỉ dữ liệu Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach
Ở Pháp, kể từ đầu năm nay đã có ít nhất 5 vụ bắt cóc và âm mưu bắt cóc liên quan đến nhà đầu tư tiền mã hóa
Các công ty Mỹ thuê ngoài hỗ trợ khách hàng ở Philippines và trả 3–6 đô la mỗi giờ
Các nhà cung cấp dịch vụ có tỷ lệ nghỉ việc rất cao, có công ty thời gian làm việc trung bình của nhân viên chỉ khoảng 6 tháng
Họ chẳng có lý do gì để trung thành cả
Thậm chí đang đi theo hướng ngược lại
Tôi nghĩ những cú sốc như thế này sẽ khiến nước Mỹ sớm rơi vào hỗn loạn
Nếu ở Mỹ thì cái giá đó sẽ cao hơn nhiều, nhưng lợi ích thu được từ cuộc tấn công có lẽ cũng sẽ được điều chỉnh theo hướng lớn hơn
Dù nhìn Coinbase thế nào, phản ứng lần này có vẻ khá ổn
Họ không trả khoản tiền chuộc 20 triệu đô la, mà thay vào đó treo phần thưởng 20 triệu đô la cho thông tin dẫn đến việc bắt giữ và kết án những người chịu trách nhiệm
Tiêu đề là “Protecting Our Customers - Standing Up to Extortionists”, nhưng vấn đề là họ đã viết thông cáo theo cách khiến mọi người khen ngợi, trong khi đáng ra phải xin lỗi vì làm lộ thông tin cá nhân
Chính điểm này khiến tôi thật sự tức giận
Hơn nữa, email tôi nhận được có tiêu đề “important notice”, và việc tài khoản cá nhân của tôi bị ảnh hưởng nằm ở câu thứ ba của một đoạn văn dài dòng
Chẳng có gì trong đó là ổn, và đây không phải là cách một công ty nghiêm túc xử lý vụ việc
Những khoảnh khắc như thế này cũng là cơ hội tốt để tạm rời khỏi lối văn doanh nghiệp và nói kiểu “biến đi, lũ hacker khốn kiếp!”
Ngay cả người sống ở Bible Belt cũng công nhận một câu chửi đúng lúc
Nếu lập thêm chương trình treo thưởng thì tốt, nhưng nếu là dữ liệu của tôi, tôi quan tâm đến việc Coinbase giảm phạm vi rò rỉ hơn là chơi trò treo thưởng trả đũa
Việc Coinbase ngay từ đầu phải giữ những thông tin như vậy vì quy định Know Your Customer thật sự là điều rất đáng tiếc
Chúng ta cần thiết lập một chuẩn mực xã hội mạnh mẽ rằng không chia sẻ thông tin định danh cá nhân nếu không có lý do chính đáng
Đây không chỉ là nguy cơ trộm cắp cá nhân mà còn là nguy cơ an ninh quốc gia
Coinbase không đóng tiền vào tài khoản Social Security của tôi, nên họ không nên có số Social Security của tôi; họ không đến nhà tôi, nên họ không nên có địa chỉ của tôi
Trong lịch sử, quy định Know Your Customer phổ biến ở các nước thuộc khối cộng sản, nhưng ở hầu hết các nền dân chủ thì trước 9/11 gần như khó tưởng tượng
9/11 đã tạo cơ hội hoàn hảo để các cơ quan tình báo đưa danh sách họ muốn vào luật, và đáng tiếc là điều này có lợi cho các cơ quan tình báo nước ngoài không kém, thậm chí có thể hơn cả cơ quan tình báo trong nước
Có thể xem thời điểm các nước khác nhau áp dụng tại đây: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...