Công bố hồ sơ cho thấy cuộc tấn công đã diễn ra suốt nhiều tháng trước khi Coinbase biết về vụ xâm phạm

 (jonathanclark.com)
1 điểm bởi GN⁺ 2025-11-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tháng 1/2025, xuất hiện trường hợp cho thấy kẻ tấn công đã biết thông tin cá nhân chi tiết như số an sinh xã hội và số dư Bitcoin
  • Nạn nhân đã lập tức gửi báo cáo kỹ thuật chi tiết cho đội ngũ bảo mật của Coinbase, nhưng trong 4 tháng sau đó không nhận được câu trả lời cho các câu hỏi cốt lõi
  • Mãi đến tháng 5, Coinbase mới thừa nhận rò rỉ dữ liệu nội bộ từ nhân viên của nhà thầu nước ngoài (TaskUs) và công bố ảnh hưởng đến khoảng 1% khách hàng, thiệt hại tối đa 400 triệu USD
  • Phân tích email header cho thấy cấu trúc tấn công nhiều lớp gồm gửi giả mạo qua Amazon SES, sử dụng số Google Voicetấn công bom SMS
  • Khoảng trống 4 tháng giữa thời điểm được báo cáo và thời điểm công khai cho thấy thất bại trong giám sát bảo mật và thiếu phản ứng, đồng thời làm nổi bật vấn đề niềm tin với sàn giao dịch tập trung

Tổng quan vụ việc

  • Ngày 7/1/2025, nạn nhân nhận được email có tiêu đề “Yêu cầu rút 2.93 ETH” và sau đó nhận cuộc gọi giả mạo Coinbase
    • Người gọi biết các dữ liệu không công khai như số an sinh xã hội, số dư Bitcoin, thông tin giấy phép lái xe
    • Nạn nhân lập tức báo cho đội ngũ bảo mật Coinbase và gửi tài liệu phân tích chi tiết gồm email header, bản ghi âm giọng nói và thông tin về kẻ tấn công
  • Brett Farmer, người phụ trách Trust & Safety của Coinbase, đã trả lời đây là “một báo cáo rất vững chắc”, nhưng sau đó không phản hồi bất kỳ liên hệ tiếp theo nào

Khác biệt với tuyên bố chính thức của Coinbase

  • Coinbase tuyên bố chỉ đến ngày 11/5/2025 mới nhận biết vụ xâm phạm và công khai vào ngày 15/5
    • Kẻ tấn công đã mua chuộc nhân viên TaskUs tại Ấn Độ để đánh cắp dữ liệu khách hàng
    • Dữ liệu bị lộ gồm: tên, địa chỉ, số điện thoại, email, 4 số cuối của số an sinh xã hội, ảnh giấy tờ tùy thân do chính phủ cấp, số dư tài khoản, lịch sử giao dịch
    • Quy mô thiệt hại được ước tính là dưới 1% khách hàng, với tổn thất 180 triệu đến 400 triệu USD
  • Tuy nhiên, ngay từ tháng 1 nạn nhân đã đưa ra bằng chứng cho thấy kẻ tấn công đã truy cập dữ liệu nội bộ, nhưng Coinbase đã phớt lờ

Cấu trúc chi tiết của cuộc tấn công

  • Giả mạo email:
    • Địa chỉ người gửi là commerce@coinbase.com, nhưng máy chủ gửi thực tế là Amazon SES(a32-86.smtp-out.amazonses.com)
    • Chữ ký DKIM đều vượt qua kiểm tra cho cả coinbase.com và amazonses.com, tạo cảm giác đáng tin cậy
    • Return-Path được đặt là amazonses.com, cho thấy khả năng giả mạo
  • Lừa đảo qua điện thoại:
    • Số gọi đến 1-805-885-0141 được xác nhận là số Google Voice
    • Kẻ tấn công dụ nạn nhân “chuyển tài sản sang ví lạnh”
  • Tấn công bom SMS:
    • Ngay sau cuộc gọi, nạn nhân nhận hàng trăm tin nhắn rác
    • Đây được phân tích là kỹ thuật tạo nhiễu nhằm che lấp mã xác thực hai yếu tố (2FA) và cảnh báo bảo mật

Các vấn đề của Coinbase

  • Thuê ngoài công việc nhạy cảm về bảo mật: nhân sự hợp đồng ở nước ngoài có thể truy cập thông tin định danh khách hàng và dữ liệu tài khoản
  • Thất bại trong phát hiện xâm phạm: dù cuộc tấn công đã diễn ra từ tháng 1, hệ thống giám sát nội bộ vẫn không phát hiện cho đến tháng 5
  • Phớt lờ báo cáo từ người dùng: Coinbase không phản hồi suốt 4 tháng trước các báo cáo kỹ thuật và câu hỏi của nạn nhân
  • Chậm công bố: dù cuộc tấn công đã diễn ra từ nhiều tháng trước, Coinbase chỉ chính thức ghi nhận sau khi có yêu cầu tiền chuộc

Lời khuyên bảo mật cho người dùng

  • Không tin số điện thoại hay caller ID, luôn xác minh lại qua số trên website chính thức
  • Ngay cả khi kẻ tấn công biết thông tin cá nhân, cũng không nên tin tưởng; cần xác thực hai chiều
  • Phân tích email header để kiểm tra máy chủ gửi và kết quả SPF/DKIM
  • Xác minh số gọi lại và kiểm tra danh tính qua quy trình xác thực trong ứng dụng
  • Từ chối các yêu cầu chuyển tiền mang tính ép buộc, và dùng 2FA dựa trên ứng dụng thay vì SMS
  • Khi gặp tấn công, hãy báo cáo ngay kèm toàn bộ thông tin kỹ thuật

Ý nghĩa của khoảng trống 4 tháng

  • Nạn nhân đã gửi bằng chứng xâm phạm và bản ghi âm từ tháng 1, nhưng Coinbase không phản ứng cho đến tháng 5
  • Trong thời gian đó, có khả năng những khách hàng khác cũng bị phơi lộ trước cùng kiểu tấn công
  • Sự im lặng của Coinbase cho thấy khiếm khuyết mang tính cấu trúc trong hệ thống cảnh báo bảo mật và quy trình phản hồi khách hàng
  • Vụ việc tượng trưng cho vấn đề niềm tin và trách nhiệm của các sàn giao dịch tập trung, và nạn nhân kết luận rằng “sự im lặng đó đã kéo dài 120 ngày”

Những câu hỏi cốt lõi còn lại cho Coinbase

  • Thời điểm rò rỉ dữ liệu thực tế là khi nào
  • Số nạn nhân trong giai đoạn từ tháng 1 đến tháng 5 và hồ sơ xử lý các báo cáo là gì
  • Nguyên nhân thất bại của kiểm soát truy cập nội bộtình trạng phản ứng với cơ quan quản lý ra sao
  • Hiệu quả thực tế của các biện pháp cải thiện bảo mật mà Coinbase tuyên bố có thể được kiểm chứng hay không

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-11-17
Ý kiến Hacker News

  • Theo bài Reuters ngày 2/6, đã lộ ra rằng Coinbase biết về việc rò rỉ dữ liệu khách hàng thông qua nhà thầu từ tháng 1
    Theo công bố với SEC ngày 14/5, vào ngày 11/5 Coinbase đã nhận được email từ một kẻ tấn công không rõ danh tính nói rằng hắn đã lấy được thông tin tài khoản khách hàng và tài liệu nội bộ, bao gồm cả tài liệu liên quan đến hệ thống dịch vụ khách hàng và quản lý tài khoản

    • Tôi đã báo cáo vấn đề này cho Coinbase vào ngày 7/1. Thời điểm khớp chính xác. Nhìn vào thái độ đầy tự tin của nhân viên tôi nói chuyện cùng, có vẻ tôi không phải là người báo cáo đầu tiên
    • Có cảm giác từ “nhà thầu” rồi sẽ trở thành tiểu mục quen thuộc trong các bài báo về kiểu sự cố này

  • Trước đây tôi từng phụ trách công việc mạng cho văn phòng chia sẻ nơi Coinbase thuê chỗ, và mật khẩu quản trị được viết trên bảng trắng, đứng ngoài hành lang cũng nhìn thấy
    Tôi đã gửi email nhắc nhở và còn xuất hóa đơn luôn, nhưng cách họ xử lý chỉ là lấy tờ giấy che mật khẩu lại. Đúng là một thời kỳ khó đỡ

    • Gửi hóa đơn cho một dịch vụ không được yêu cầu là cách khiến chẳng ai xem email của bạn một cách nghiêm túc
    • Chuyện này chẳng làm tôi ngạc nhiên chút nào. Toàn bộ ngành Bitcoin và fintech quá liều lĩnh

  • Khoảng một tháng trước tôi nhận được cuộc gọi ở Anh từ một người tự xưng là Coinbase
    Khi tôi nói trong tài khoản chỉ có khoảng £5 Bitcoin Cash, họ lập tức mất hứng và bảo sẽ xử lý qua email
    Họ hỏi tôi có “cold storage” không, tôi trả lời là có tủ lạnh. Điều đó là thật

    • Haha, lần sau có cuộc gọi rác tôi cũng sẽ dùng câu đùa này

  • Tiêu đề bài viết quá câu view (clickbait)
    Thực ra đây chỉ là bản ghi âm một cuộc tấn công phishing nhằm moi thông tin, chứ không phải bằng chứng Coinbase biết về vụ rò rỉ
    Việc người báo tin chuyển tài liệu cho Coinbase không có nghĩa là họ đã nhận thức được vụ breach từ trước

    • Tôi đã gửi bản ghi âm cuộc gọi và email cho Coinbase, và nhận được phản hồi rằng “báo cáo này rất vững chắc và rất đáng để điều tra. Chúng tôi hiện đang điều tra kẻ lừa đảo
    • Có vẻ bạn chưa đọc kỹ bài viết. Mọi chi tiết cần thiết đều có trong bài

  • Câu chuyện thì thú vị, nhưng việc bài viết được viết bằng AI làm tôi rất khó chịu. Đọc khá mệt

    • Tôi muốn hỏi làm sao bạn chắc chắn được. LLM có thể bắt chước giọng văn của con người, nhưng rốt cuộc giọng văn đó cũng bắt nguồn từ phong cách của ai đó.
      Các mẫu ngôn ngữ của LLM hiện nay rất có thể là kết quả sao chép thói quen viết lách của ai đó
    • Tôi không biết có phải viết bằng AI không, nhưng nó cứ lặp đi lặp lại cùng một ý. Cắt xuống còn 1/3 độ dài thì nội dung vẫn vậy
    • Tôi cũng thấy khó chịu với “giọng điệu kiểu LinkedIn” đặc trưng của AI. Cấu trúc câu đã khá hơn nhưng vẫn đầy kịch tính hóa quá mức, danh sách không cần thiết, và những tiêu đề gượng gạo như “The Call That Changed Everything”
      Đặc biệt những câu như “The Timeline That Doesn’t Make Sense” không hề khớp với nội dung thực tế.
      Nếu một tập đoàn lớn đang tiến hành điều tra phức tạp thì việc mất thời gian trước khi công bố là hoàn toàn bình thường, nhưng AI lại bỏ qua bối cảnh và vội kết luận là “đáng ngờ”.
      Chính kiểu phán đoán thiếu bối cảnh này có vẻ là vấn đề lớn nhất của bài viết do AI tạo ra
    • Muốn đưa ra khẳng định như vậy thì cần có tài liệu chứng cứ

  • Khó coi đây là bằng chứng
    Tác giả chỉ nhận được cuộc gọi phishing rồi báo cho Coinbase. Coinbase nhận hàng trăm báo cáo phishing mỗi ngày
    Thông tin mà kẻ tấn công biết có thể đã đến từ một vụ rò rỉ dữ liệu khác. Cũng rất có thể khách hàng tự để lộ thông tin tài khoản do sơ suất

    • Ban đầu tôi tưởng chúng đã lần theo lịch sử giao dịch blockchain để gắn với danh tính của tôi.
      Nhưng kẻ tấn công biết cả số dư ETH và BTC, cũng như ngày mở tài khoản của tôi.
      Ngày mở tài khoản có thể lần theo được, nhưng biết cùng lúc số dư của cả hai đồng thì có vẻ không thể nếu không có thông tin nội bộ từ Coinbase

  • Dòng thời gian thì thú vị, nhưng chỉ với một trường hợp này thì chưa đủ để kết luận Coinbase đã nhận thức được vụ rò rỉ
    Malware kiểu screen-scraping rất phổ biến, và từ góc nhìn của nhà phân tích thì đánh giá đây là máy phía khách hàng bị nhiễm là điều tự nhiên
    Trên thực tế cũng có nhiều trường hợp khách hàng bị hack rồi đổ lỗi cho công ty

    • Nhưng khi tôi gửi cả bản ghi âm cuộc gọi lẫn header email, chính người phụ trách Trust & Safety của Coinbase đã trực tiếp trả lời rằng “báo cáo này rất vững chắc. Chúng tôi hiện đang điều tra kẻ lừa đảo”

  • Tôi cũng phát hiện dấu hiệu Coinbase bị hack trong cùng khoảng thời gian
    Ngay cả API key của Discord cũng đã bị lộ và chỉ đến khoảng tháng 4~5 mới được reset.
    Điều này có vẻ cho thấy ngay cả hệ thống quản lý bí mật (secrets manager) tập trung cũng đã bị xâm nhập

  • Tổ chức của chúng tôi cũng đang dùng Coinbase, và đã bị nhắm tới trong một nỗ lực tấn công vào đầu tháng 2/2025
    May mà người phụ trách tài khoản của chúng tôi rất đa nghi, nên đã xác minh trực tiếp qua kênh liên hệ chính thức của tổ chức bên kia và tránh được thiệt hại