Công bố hồ sơ cho thấy cuộc tấn công đã diễn ra suốt nhiều tháng trước khi Coinbase biết về vụ xâm phạm

 (jonathanclark.com)
1 điểm bởi GN⁺ 2025-11-17 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp
  • Tháng 1/2025, xuất hiện trường hợp cho thấy kẻ tấn công đã biết thông tin cá nhân chi tiết như số an sinh xã hội và số dư Bitcoin
  • Nạn nhân đã lập tức gửi báo cáo kỹ thuật chi tiết cho đội ngũ bảo mật của Coinbase, nhưng trong 4 tháng sau đó không nhận được câu trả lời cho các câu hỏi cốt lõi
  • Mãi đến tháng 5, Coinbase mới thừa nhận rò rỉ dữ liệu nội bộ từ nhân viên của nhà thầu nước ngoài (TaskUs) và công bố ảnh hưởng đến khoảng 1% khách hàng, thiệt hại tối đa 400 triệu USD
  • Phân tích email header cho thấy cấu trúc tấn công nhiều lớp gồm gửi giả mạo qua Amazon SES, sử dụng số Google Voicetấn công bom SMS
  • Khoảng trống 4 tháng giữa thời điểm được báo cáo và thời điểm công khai cho thấy thất bại trong giám sát bảo mật và thiếu phản ứng, đồng thời làm nổi bật vấn đề niềm tin với sàn giao dịch tập trung

Tổng quan vụ việc

  • Ngày 7/1/2025, nạn nhân nhận được email có tiêu đề “Yêu cầu rút 2.93 ETH” và sau đó nhận cuộc gọi giả mạo Coinbase
    • Người gọi biết các dữ liệu không công khai như số an sinh xã hội, số dư Bitcoin, thông tin giấy phép lái xe
    • Nạn nhân lập tức báo cho đội ngũ bảo mật Coinbase và gửi tài liệu phân tích chi tiết gồm email header, bản ghi âm giọng nói và thông tin về kẻ tấn công
  • Brett Farmer, người phụ trách Trust & Safety của Coinbase, đã trả lời đây là “một báo cáo rất vững chắc”, nhưng sau đó không phản hồi bất kỳ liên hệ tiếp theo nào

Khác biệt với tuyên bố chính thức của Coinbase

  • Coinbase tuyên bố chỉ đến ngày 11/5/2025 mới nhận biết vụ xâm phạm và công khai vào ngày 15/5
    • Kẻ tấn công đã mua chuộc nhân viên TaskUs tại Ấn Độ để đánh cắp dữ liệu khách hàng
    • Dữ liệu bị lộ gồm: tên, địa chỉ, số điện thoại, email, 4 số cuối của số an sinh xã hội, ảnh giấy tờ tùy thân do chính phủ cấp, số dư tài khoản, lịch sử giao dịch
    • Quy mô thiệt hại được ước tính là dưới 1% khách hàng, với tổn thất 180 triệu đến 400 triệu USD
  • Tuy nhiên, ngay từ tháng 1 nạn nhân đã đưa ra bằng chứng cho thấy kẻ tấn công đã truy cập dữ liệu nội bộ, nhưng Coinbase đã phớt lờ

Cấu trúc chi tiết của cuộc tấn công

  • Giả mạo email:
    • Địa chỉ người gửi là commerce@coinbase.com, nhưng máy chủ gửi thực tế là Amazon SES(a32-86.smtp-out.amazonses.com)
    • Chữ ký DKIM đều vượt qua kiểm tra cho cả coinbase.com và amazonses.com, tạo cảm giác đáng tin cậy
    • Return-Path được đặt là amazonses.com, cho thấy khả năng giả mạo
  • Lừa đảo qua điện thoại:
    • Số gọi đến 1-805-885-0141 được xác nhận là số Google Voice
    • Kẻ tấn công dụ nạn nhân “chuyển tài sản sang ví lạnh”
  • Tấn công bom SMS:
    • Ngay sau cuộc gọi, nạn nhân nhận hàng trăm tin nhắn rác
    • Đây được phân tích là kỹ thuật tạo nhiễu nhằm che lấp mã xác thực hai yếu tố (2FA) và cảnh báo bảo mật

Các vấn đề của Coinbase

  • Thuê ngoài công việc nhạy cảm về bảo mật: nhân sự hợp đồng ở nước ngoài có thể truy cập thông tin định danh khách hàng và dữ liệu tài khoản
  • Thất bại trong phát hiện xâm phạm: dù cuộc tấn công đã diễn ra từ tháng 1, hệ thống giám sát nội bộ vẫn không phát hiện cho đến tháng 5
  • Phớt lờ báo cáo từ người dùng: Coinbase không phản hồi suốt 4 tháng trước các báo cáo kỹ thuật và câu hỏi của nạn nhân
  • Chậm công bố: dù cuộc tấn công đã diễn ra từ nhiều tháng trước, Coinbase chỉ chính thức ghi nhận sau khi có yêu cầu tiền chuộc

Lời khuyên bảo mật cho người dùng

  • Không tin số điện thoại hay caller ID, luôn xác minh lại qua số trên website chính thức
  • Ngay cả khi kẻ tấn công biết thông tin cá nhân, cũng không nên tin tưởng; cần xác thực hai chiều
  • Phân tích email header để kiểm tra máy chủ gửi và kết quả SPF/DKIM
  • Xác minh số gọi lại và kiểm tra danh tính qua quy trình xác thực trong ứng dụng
  • Từ chối các yêu cầu chuyển tiền mang tính ép buộc, và dùng 2FA dựa trên ứng dụng thay vì SMS
  • Khi gặp tấn công, hãy báo cáo ngay kèm toàn bộ thông tin kỹ thuật

Ý nghĩa của khoảng trống 4 tháng

  • Nạn nhân đã gửi bằng chứng xâm phạm và bản ghi âm từ tháng 1, nhưng Coinbase không phản ứng cho đến tháng 5
  • Trong thời gian đó, có khả năng những khách hàng khác cũng bị phơi lộ trước cùng kiểu tấn công
  • Sự im lặng của Coinbase cho thấy khiếm khuyết mang tính cấu trúc trong hệ thống cảnh báo bảo mật và quy trình phản hồi khách hàng
  • Vụ việc tượng trưng cho vấn đề niềm tin và trách nhiệm của các sàn giao dịch tập trung, và nạn nhân kết luận rằng “sự im lặng đó đã kéo dài 120 ngày”

Những câu hỏi cốt lõi còn lại cho Coinbase

  • Thời điểm rò rỉ dữ liệu thực tế là khi nào
  • Số nạn nhân trong giai đoạn từ tháng 1 đến tháng 5 và hồ sơ xử lý các báo cáo là gì
  • Nguyên nhân thất bại của kiểm soát truy cập nội bộtình trạng phản ứng với cơ quan quản lý ra sao
  • Hiệu quả thực tế của các biện pháp cải thiện bảo mật mà Coinbase tuyên bố có thể được kiểm chứng hay không

Bài viết liên quan

Chưa có bình luận nào.

Chưa có bình luận nào.