Coinbase: hacker mua chuộc nhân viên để đánh cắp dữ liệu khách hàng rồi đòi tiền chuộc 20 triệu USD

Ý kiến trên Hacker News

• Gần đây tôi liên tục nhận được các cuộc gọi spear phishing rất tinh vi. Chúng dùng đúng chiêu quen thuộc là nói tôi cần xác minh một giao dịch đáng ngờ. Giọng nói rất thân thiện, tiếng Anh Mỹ rất chuẩn, thậm chí còn biết cả số dư tài khoản của tôi. Ngay từ cuộc gọi đầu tiên tôi đã nhận ra đó là lừa đảo, và nhờ tính năng lọc cuộc gọi của Google nên từ đó về sau vẫn an toàn. Tôi chỉ ước có thể chuyển mấy cuộc gọi này cho Kitboga. Ban đầu chúng lừa khách hàng Coinbase, rồi cuối cùng quay sang tống tiền chính Coinbase

  • Nếu bạn từng có kha khá tài sản trên Coinbase, thì spear phishing chỉ là phần nhỏ nhất trong những điều đáng lo. Coinbase không chỉ làm lộ tên và địa chỉ mà còn cả số dư, lịch sử giao dịch, và ảnh giấy tờ tùy thân. Nhiều người thậm chí còn bị tấn công ngoài đời thực hoặc bị bắt cóc người thân. Dưới 10.000 USD cũng đã bị xem là "đáng kể" rồi. Từ trước đến nay, cách phòng thủ tốt nhất là giữ bí mật, nhưng nhờ Coinbase mà giờ ngay cả điều đó cũng không còn. Kẻ xấu có thể nhắm vào những ai từng giữ số tiền lớn trên Coinbase hoặc từng rút ra tiền mặt, rồi dễ dàng tìm thông tin gia đình hay dùng để đe dọa. Dù Coinbase có nghĩa vụ bồi thường toàn bộ thiệt hại phát sinh từ việc này, nếu làm thật thì có lẽ công ty cũng phá sản

  • Tôi đã đổi từ Pixel sang iPhone, và thấy choáng vì số cuộc gọi rác quá nhiều. Không biết trên iPhone thì người ta xử lý chuyện này như thế nào

  • Tôi tự hỏi các cuộc gọi spear phishing này đã tăng lên từ bao giờ. Tôi không tin tuyên bố của Coinbase rằng đây là một vấn đề tấn công mang tính hệ thống

  • Tôi cứ liên tục nhận được tin nhắn mã xác thực đăng nhập Coinbase dù chẳng hề thử đăng nhập. Tài khoản Microsoft của tôi cũng vậy. Tôi đoán ai đó đang thử xem email của tôi có thể dùng để đăng nhập hay không

  • Tôi tò mò không biết số gọi đến là từ đâu. Tôi cũng nhận rất nhiều cuộc gọi phishing, nhưng tuyệt đối không bao giờ bắt máy số lạ. Nhờ Google Call Screen mà bọn chúng lần nào cũng cúp máy. Vì thế tôi càng chắc đó là lừa đảo

  • Nhờ AI mà các trò lừa đảo ngày càng tinh vi hơn. Lỗi chính tả cũng gần như biến mất. Gần đây tôi xem thử một email phishing cho vui và phát hiện có đoạn dùng ký tự Unicode lạ do dịch sai. Chưa hoàn hảo, nhưng rõ ràng chúng đang ngày càng xảo quyệt hơn

  • Chỉ riêng tuần trước tôi đã nhận ba bốn cuộc như vậy

  • Tôi tự hỏi liệu chất giọng hoàn hảo đó có phải nhờ machine learning hay không

  • Việc chúng nói tiếng Anh quá chuẩn và còn biết số dư tài khoản khiến tôi phải nghĩ đến khả năng đây là cựu nhân viên Coinbase

  • Tôi có cảm giác chuyện này sẽ không bao giờ dừng lại, và giờ yếu tố tội phạm đã trở thành một dạng chủ nghĩa tư bản hợp pháp

• Có người chỉ ra vấn đề là dữ liệu bị lộ dường như trùng với chính những thông tin dùng để khôi phục tài khoản. Nghĩa là nếu bạn vô tình phạm lỗi hoặc do phía Coinbase mà bị mất quyền truy cập tài khoản, thì quy trình khôi phục giờ sẽ không còn đơn giản nữa. Hacker cũng có thể thử khôi phục tài khoản bằng dữ liệu bị lộ. Người này cho rằng giải pháp là cần có các chi nhánh ngoại tuyến hỗ trợ khôi phục tài khoản ngoài đời thực (IRL office). Tại chỗ thì có thể bắt và truy tố tội phạm. Điều này cũng tạo rào cản lớn với tội phạm ở nước ngoài. Giải pháp chắc chắn nhất là xác thực hai yếu tố bằng phần cứng như Yubikey

  • Ngành tiền mã hóa đang một lần nữa học rất nhanh vì sao hệ thống tài chính truyền thống lại tồn tại. Cái IRL office mà bạn nói đến là thứ mà nhiều người ủng hộ crypto gọi là "ngân hàng"

  • Nếu có lịch sử nạp rút trực tiếp từ ví riêng, thì một cách khôi phục đáng tin cậy khác là gửi một thông điệp được ký bằng khóa tương ứng với địa chỉ đã đăng ký trên Coinbase. Bản chất của crypto chỉ là một dạng PKI khác mà thôi

  • Nếu có chi nhánh ngoại tuyến, thì sẽ phát sinh tình huống ngay cả khi không phải lỗi người dùng (ví dụ hệ thống phát hiện rủi ro quá nhạy) mà tài khoản vẫn bị khóa và bạn phải đi xa sang thành phố khác. Khi đó những người bị khóa tài khoản chắc sẽ rất bất mãn

  • Tôi nghĩ ai đủ rành kỹ thuật để dùng Yubikey thì có lẽ cũng sẽ mua luôn ví phần cứng và tự lưu ký tài sản

  • Nếu Coinbase cần các chi nhánh ngoại tuyến, thì điều đó đơn giản có nghĩa là nó là một ngân hàng

  • Dù xác thực hai yếu tố bằng phần cứng (Yubikey) là giải pháp duy nhất, nếu làm mất nó thì bạn lại quay về bài toán khôi phục tài khoản

  • Câu nói Coinbase cần chi nhánh ngoại tuyến có phải là mỉa mai không

• Tôi đã hỏi bộ phận hỗ trợ khách hàng Coinbase xem tài khoản của mình có bị ảnh hưởng bởi vụ hack này không. Sau khi qua chatbot AI và được nối sang người thật, họ thậm chí còn không biết vụ hack này đã xảy ra. Xem như tôi là người báo cho họ đầu tiên

  • Email đã được gửi tới các tài khoản bị ảnh hưởng. Tôi là một trong những người dùng bị ảnh hưởng

  • Cũng có thể khách hàng đầu tiên kia chỉ gặp phải một nhân viên hỗ trợ lười biếng

  • Tôi từng gặp cảnh nhân viên chỉ đọc đúng kịch bản kiểu "tôi không biết, bạn là người đầu tiên nói với tôi chuyện này"

• Có thể thấy Coinbase đang cố tạo khoảng cách giữa mình với các "nhân viên hỗ trợ bất hảo" ở nước ngoài. Nếu họ thực sự là nhân viên hoặc nhà thầu của Coinbase, thì về bản chất công ty đã trực tiếp bán dữ liệu cho hacker. Việc bồi thường cho khách hàng bị mất tiền vì lừa đảo là điều hợp lý. Nhưng nếu ai đó thực sự phải chuyển nhà, đổi ngân hàng, đổi email, hay thậm chí thuê nhân viên an ninh, thì tôi tự hỏi liệu họ có thể tính cả những chi phí đó cho công ty hay không

  • Nếu một nhân viên vi phạm chính sách công ty hoặc đánh cắp trái phép dữ liệu mật rồi chuyển cho hacker, thì khó có thể gọi đó là "công ty chúng tôi đã bán dữ liệu"

• Chia sẻ nội dung được nhắc trên blog chính thức của Coinbase: khách hàng bị lừa chuyển tiền do vụ tấn công này sẽ được bồi thường, còn khách hàng có thông tin bị lộ đã được gửi email vào ngày 15 tháng 5 lúc 7:20 sáng (giờ miền Đông nước Mỹ)

  • Việc họ chọn email no-reply thật đáng chú ý. Coinbase có lợi thế lớn là tính tập trung và trung tâm hỗ trợ khách hàng, nhưng chính điều đó cũng cho thấy vì sao các cuộc tấn công social engineering lại khả thi

  • Tôi tò mò vì sao tài khoản Coinbase Prime không nằm trong phạm vi bị lộ. Không biết Prime có lớp bảo vệ đặc biệt nào hay chỉ là bọn lừa đảo ít quan tâm hơn đến các tài khoản đó

• Do luật KYC (xác minh danh tính khách hàng) của chính phủ, Coinbase buộc phải lưu trữ nhiều thông tin nhạy cảm hơn rất nhiều so với mức cần thiết cho xác thực người dùng. Việc ảnh giấy tờ tùy thân cũng bị đánh cắp là lỗi của chính phủ, và vấn đề còn nằm ở chỗ cả tội phạm lẫn nhân viên nội bộ đều có thể làm gì đó với thông tin này mà không ai biết

  • KYC tự nó đã có lý do tồn tại đầy đủ. Vấn đề không phải là quy định của chính phủ mà là doanh nghiệp tư nhân quản lý dữ liệu khách hàng một cách cẩu thả. Càng làm lỏng lẻo thì chi phí càng thấp, mà đó lại không phải dữ liệu của chính họ nên động lực bảo vệ cũng yếu. Nếu không bị ép buộc, họ sẽ không làm

  • Nói rằng vì KYC nên phải giữ thông tin nhạy cảm mãi mãi chỉ là cái cớ. Cần phải thành thật về việc vì sao mọi nhân viên hỗ trợ đều có thể truy cập vĩnh viễn vào tài liệu giấy tờ tùy thân

• Tôi thấy phản ứng của Coinbase khá ổn: tuyệt đối không trả khoản tiền chuộc 20 triệu USD, mà thay vào đó lập quỹ thưởng 20 triệu USD cho thông tin giúp bắt giữ thủ phạm

  • Có người chỉ ra đây là đúng chiêu đã dùng trong phim 'Ransom' năm 1996

  • Từ góc nhìn khách hàng, điều quan trọng hơn là trả tiền chuộc để hạn chế dữ liệu bị phát tán. Việc lập thêm quỹ thưởng thì cũng tốt, nhưng bảo vệ dữ liệu ngay lập tức mới là điều cấp bách hơn

  • Tôi thích kiểu phản ứng này. Trong những lúc như thế này, thay vì mấy câu chữ cứng nhắc, nếu công ty nói kiểu “đồ hacker khốn kiếp, cút đi!” thì chắc sẽ có rất nhiều người hưởng ứng

• Họ chỉ nói là đã tuyển các "nhân viên hỗ trợ ở nước ngoài bất hảo". Không nói đó là nước nào và vì sao ngay từ đầu lại thuê họ. Một công ty doanh thu đã hàng tỷ USD mà còn không tuyển dụng và thẩm định nhân sự cho ra hồn thì thật khó hiểu

• Về việc đưa ra "quỹ thưởng 20 triệu USD", bình thường tôi chủ yếu chỉ trích ngành crypto, nhưng lần này thì phải khen. Mong là họ thực sự chi tiền thưởng

  • Đùa rằng họ có thể trả khoản thưởng đó bằng crypto

• Cảm giác như déjà vu. Nếu Coinbase chỉ đến lúc hacker đòi tiền mới nhận ra có gì đó bất thường, thì tôi nghi họ thậm chí còn không lưu nhật ký truy cập của nhân viên. Tôi tự hỏi nội bộ có tối thiểu cách nào để truy vết trách nhiệm hay không. Chỉ cần xây dựng một hệ thống theo dõi truy cập đơn giản rồi chặn ngay các dấu hiệu bất thường hay nhân viên có ác ý thì đã tốt hơn nhiều. Tôi cũng muốn xem gói bồi thường nghỉ việc của các lãnh đạo sau vụ này sẽ trông như thế nào

  • Nhìn vào blog chính thức thì có vẻ các nhân viên hỗ trợ khách hàng vốn đã có quyền truy cập vào dữ liệu nhạy cảm và nhận tiền từ kẻ tấn công để giao dữ liệu đó. Hacker không trực tiếp truy cập vào tài khoản

  • Tôi từng phải thêm nhiều lớp bảo mật cho bảng quản trị nội bộ khi bắt đầu tuyển nhân viên ngoài Mỹ (ghi log, giám sát, phê duyệt của quản trị viên, v.v.). Ngành thẻ tín dụng có tiêu chuẩn bảo vệ dữ liệu cực kỳ nghiêm ngặt nhờ PCI-DSS. Có vẻ ngành crypto do thiếu các quy định như vậy nên ý thức bảo mật thấp hơn tương đối

  • Mức tối thiểu phải có là ghi log và kiểm toán sau sự việc. Cũng không phải quá đáng khi yêu cầu nhân viên chăm sóc khách hàng đòi thêm thông tin xác minh mà khách hàng khó có thể tự biết. Trường hợp khách hàng thật sự bị khóa tài khoản thì chỉ một nhóm rất nhỏ nhân viên được kiểm soát nghiêm ngặt hơn xử lý là đủ. Con số dưới 1% người dùng mỗi tháng bị truy cập như thống kê nêu ra theo tôi vẫn là một tỷ lệ rất lớn