- Coinbase reveló un incidente en el que personal de soporte en el extranjero fue sobornado y se filtraron datos de clientes; los atacantes intentaron usar esa información en ataques de ingeniería social y el costo de la respuesta se estima en hasta 400 millones de dólares
- Los atacantes afirmaron haber obtenido, el 11 de mayo, información de cuentas de algunos clientes y documentos internos, y exigieron 20 millones de dólares a cambio de no publicarlos
- Entre los datos filtrados había nombres, información de contacto, datos bancarios enmascarados, imágenes de identificaciones y saldos de cuenta, pero las contraseñas, claves privadas y fondos no quedaron expuestos, y las cuentas de Coinbase Prime no se vieron afectadas
- Coinbase se negó a pagar el rescate y está cooperando con las autoridades; además, despidió al personal implicado, advirtió a los clientes potencialmente afectados y reforzó la protección de monitoreo contra fraudes
- La empresa ofreció una recompensa de 20 millones de dólares por información que lleve al arresto y condena de los responsables, y dijo que reembolsará a los clientes que enviaron fondos engañados por los atacantes
Robo de datos provocado por el soborno a personal de soporte en el extranjero
- Según Coinbase, ciberdelincuentes sobornaron a agentes de soporte en el extranjero para robar datos de clientes y buscaban usar esa información en ataques de ingeniería social
- El costo de respuesta a este incidente podría llegar hasta 400 millones de dólares
- Las acciones de Coinbase cayeron más de 6% en las operaciones de la mañana
Exigencia de 20 millones de dólares y respuesta de Coinbase
- Coinbase recibió el 11 de mayo un correo electrónico en el que se afirmaba haber obtenido información de cuentas de algunos clientes y documentos internos
- La empresa informó en una presentación ante la SEC que entre los documentos internos había materiales relacionados con atención al cliente y sistemas de gestión de cuentas
- Los atacantes exigieron 20 millones de dólares a cambio de no divulgar esa información
- Coinbase no pagará el rescate y está investigando el caso junto con las autoridades
- En una entrada de blog, la empresa dijo que, en lugar de aceptar la exigencia, ofrecerá una recompensa de 20 millones de dólares por información que conduzca al arresto y condena de los criminales
Información expuesta y alcance del impacto
- Entre los datos afectados había información sensible de clientes
- Nombres, direcciones, números de teléfono y correos electrónicos
- Números e identificadores de cuentas bancarias enmascarados
- Últimos 4 dígitos del número de Social Security
- Imágenes de identificaciones oficiales
- Saldos de cuenta
- Las contraseñas, claves privadas y fondos no quedaron expuestos
- Las cuentas de Coinbase Prime no se vieron afectadas
- Los clientes que enviaron fondos engañados por los atacantes recibirán reembolso
Abuso de acceso interno y detección previa
- Los atacantes obtuvieron información sobornando a contratistas en el extranjero y a empleados en funciones de soporte
- Los internos sobornados abusaron de su acceso a los sistemas de soporte al cliente para robar datos de algunas cuentas
- Coinbase detectó la intrusión de forma independiente durante los meses anteriores y despidió de inmediato al personal involucrado
- Advirtió a los clientes que podrían haber estado expuestos y reforzó la protección de monitoreo contra fraudes
Flujo reciente del negocio de Coinbase
- Coinbase opera la mayor plataforma de intercambio de criptomonedas de Estados Unidos
- En la última semana anunció una adquisición que se espera ayude a su expansión global, y también quedó confirmada su incorporación al S&P 500, efectiva a partir de la próxima semana
- En la conferencia telefónica de resultados de la semana pasada, el CEO Brian Armstrong dijo que su meta es convertir a Coinbase en la app de servicios financieros número 1 del mundo en los próximos 5 a 10 años
1 comentarios
Comentarios de Hacker News
Enlace al documento original ante la SEC: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
He estado recibiendo de forma constante llamadas de spear phishing de este lado o de alguien que compró los datos filtrados
Es la táctica típica de decir que hay que verificar una transacción potencialmente fraudulenta, hablan un inglés perfecto con acento estadounidense, suenan muy amables y hasta conocen el saldo de la cuenta
Por suerte me di cuenta de inmediato en la primera llamada de que era una estafa, y en las demás el filtro de llamadas de Google hizo bien su trabajo
Si fuera posible, me gustaría pasárselos a Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase no solo entregó nombres y direcciones, sino también saldos, historial de transacciones e imágenes de identificaciones gubernamentales; personas con grandes saldos de criptomonedas están siendo atacadas en la calle o en sus casas, o sus familiares son secuestrados para pedir rescate
Aquí “grande” podría significar menos de 10 mil dólares
Hasta ahora, la mejor defensa había sido mantener el perfil bajo y no hablar públicamente de criptomonedas de una forma que pudiera vincularse con tu identidad real, pero gracias a Coinbase esa línea de defensa desapareció
Los delincuentes ahora saben quién tuvo un saldo importante en Coinbase, si lo convirtió a efectivo y por cuánto, y si alguna vez movió tokens a una wallet propia fuera del exchange
Ahora ya saben a quién vale la pena secuestrar y dónde vive, y si buscan en Google el nombre y la dirección de la casa, en la mayoría de los casos también aparecen los nombres de familiares que podrían convertirse en blanco de extorsión o secuestro
A Coinbase no la van a obligar a compensar todos los costos reales del daño, y esos costos serían del tamaño suficiente para quebrar a la empresa
Me pregunto cómo lidian con esto los usuarios de iPhone
Lo mismo me pasa con mi cuenta de Microsoft
Normalmente solo los ignoro, pero parece que alguien está probando si puede iniciar sesión con mi correo
Cuesta creer la explicación de que Coinbase no lo vio como un problema sistémico hasta que recibió contacto de “ciberdelincuentes”
Hace poco, por curiosidad, estaba viendo un correo de phishing y detecté unos caracteres Unicode raros mal traducidos, y enseguida supe que eran rastros de una traducción deficiente
No es perfecto, pero está bastante bien hecho
El problema es que los datos filtrados parecen ser los mismos que se usan para la recuperación de cuenta
O sea, si pierdes el acceso a tu cuenta, ya sea por error tuyo o de Coinbase, el proceso de recuperación podría dejar de ser algo simple, y los hackers podrían intentar “recuperar” la cuenta usando esta información filtrada
Coinbase necesita sucursales físicas. Tiene que haber lugares donde se puedan resolver en persona cosas como la recuperación de cuenta, y donde se pueda detener y procesar a quien intente robar dinero; además, eso suele ser una barrera importante para ladrones que operan desde el extranjero
La única solución aquí es la autenticación en dos pasos con hardware como YubiKey
Lo que acabas de describir es básicamente lo que muchos defensores de las criptomonedas llaman un banco
Después de todo, las criptomonedas no dejan de ser otra infraestructura de clave pública
Intenté contactar al soporte de Coinbase para confirmar si me había afectado
Después de perder tiempo con un bot de IA, por fin me comunicaron con una persona, pero ese empleado no sabía nada de la filtración y yo fui quien se la informó primero
Fuente: fui afectado
La razón por la que Coinbase tuvo que guardar mucha más información sensible de la necesaria para verificar identidad y autenticación fue el KYC
Si te roban la foto del pasaporte, y luego delincuentes o empleados maliciosos de Coinbase hacen algo con esa información, parte de la culpa se la puedes agradecer al gobierno
El problema aquí no es la regulación del gobierno, sino que una empresa privada maneje de forma negligente los datos de sus clientes
Hacerlo mal sale más barato, y como la información en riesgo no es de la empresa sino del cliente, hay pocos incentivos para protegerla bien a menos que la ley los obligue
Deberían explicar honestamente por qué todos los agentes de soporte tienen que poder acceder de forma permanente a documentos usados para verificar identidad
Esos documentos solo se necesitan para el KYC
Coinbase parece estar esforzándose bastante por separarse de los llamados “agentes de soporte maliciosos en el extranjero”
Si eran empleados o contratistas de Coinbase, entonces en la práctica la empresa le vendió sus propios datos a hackers, y luego los hackers volvieron para exigir rescate
Tiene sentido compensar a clientes que fueron engañados para transferir dinero. La lógica para demandar a Coinbase parece bastante clara, porque sus acciones llevaron a esas pérdidas
Lo que más me intriga es si una persona que sintió la necesidad de mudarse, cambiar de banco, cambiar de correo electrónico o contratar seguridad privada podría ganar una demanda para cobrarle a la empresa una parte o la totalidad de esos costos
Si empleados de la empresa violaron la política y probablemente extrajeron datos internos de la empresa de forma ilegal para venderlos a hackers, cuesta decir que “la empresa vendió los datos”
Publicación del blog de Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
Dijeron que compensarán a los clientes que fueron engañados por ataques de ingeniería social para enviar fondos a los atacantes, y que ya enviaron correos desde no-reply@info.coinbase.com a los clientes cuyos datos fueron accedidos
Todas las notificaciones enviadas a los clientes afectados fueron despachadas el 15/5 a las 7:20 a. m., hora del Este
Entiendo que es difícil operar una empresa como Coinbase, pero su mayor fortaleza —la centralización y el soporte al cliente— también es precisamente lo que hace posible este tipo de ingeniería social, así que se siente como una elección extraña
No sé si hay una capa adicional de protección de datos detrás del muro de pago de Coinbase Prime, o si las evitaron deliberadamente porque es más probable que sean usuarios más experimentados
Según la explicación de la filtración, parece que los atacantes pagaron a varios contratistas o empleados que realizaban tareas de soporte fuera de EE. UU. para que recopilaran información desde sistemas internos de Coinbase a los que tenían acceso por su trabajo
Por los datos filtrados, es muy probable que la fuente haya sido el soporte al cliente en Filipinas
Como los salarios suelen ser menores a 1,000 dólares al mes y los puestos de entrada pueden ganar menos de 500, un soborno de 5,000 dólares puede equivaler a más de un año de ingresos libres de impuestos
Es una inversión pequeña considerando lo que se puede ganar con este conjunto de datos
Los datos filtrados incluyen nombres, direcciones, números de teléfono, correos electrónicos, los últimos 4 dígitos enmascarados del número de Seguro Social, números de cuenta bancaria enmascarados y algunos identificadores bancarios, imágenes de identificaciones oficiales como licencias de conducir y pasaportes, capturas del saldo y del historial de transacciones, además de algunos documentos internos, materiales de capacitación y comunicaciones que el personal de soporte podía ver
Estos son los datos con los que sueña cualquier atacante, y con solo direcciones de correo y saldos de cuenta ya es una pesadilla
En vez de extorsionar a la empresa, pueden extorsionar directamente a cada usuario. Algo como: “envía el 50% de tu BTC o publicaremos toda tu información en internet”
Parece una situación similar a la filtración de datos de Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach
En Francia ha habido al menos 5 casos de secuestros e intentos de secuestro relacionados con inversionistas en criptomonedas desde principios de este año
Las empresas estadounidenses subcontratan soporte al cliente en Filipinas pagando entre 3 y 6 dólares por hora
Las empresas proveedoras del servicio tienen una rotación altísima, y en algunas la permanencia promedio del personal es de unos 6 meses
No hay absolutamente ninguna razón para ser leal
De hecho, vamos en la dirección opuesta
Siento que este tipo de shock va a empujar a EE. UU. al caos muy pronto
En EE. UU. el precio habría sido mucho más alto, pero probablemente también se habría ajustado al mayor beneficio esperado del ataque
Independientemente de cómo veas a Coinbase, su respuesta esta vez parece bastante buena
No pagarán el rescate de 20 millones de dólares; en cambio, ofrecerán una recompensa de 20 millones de dólares por información que lleve al arresto y condena de los responsables
El titular es “Protecting Our Customers - Standing Up to Extortionists”, y el problema es que redactaron el comunicado de una forma que hace que la gente termine felicitándolos cuando en realidad deberían estar disculpándose por haber filtrado información personal
Eso es lo que de verdad me enfurece
Además, el asunto del correo que recibí era “important notice”, y el hecho de que mi cuenta personal había sido afectada aparecía recién en la tercera oración de un párrafo larguísimo
Nada de esto está bien, y no parece que la empresa se esté tomando el asunto en serio
En momentos así, habría sido una buena oportunidad para salir un poco del lenguaje corporativo y decir algo como “¡váyanse al diablo, hackers de mierda!”
Hasta la gente del Bible Belt aprecia una grosería bien puesta cuando toca
Está bien si además quieren ofrecer una recompensa, pero si fueran mis datos, me importaría más que Coinbase redujera el alcance de la filtración que verla jugando a la cacería de recompensas por venganza
Es realmente lamentable que Coinbase tuviera que tener esta información en primer lugar por las regulaciones de conoce a tu cliente
Deberíamos establecer una norma social fuerte de no compartir información de identificación personal sin una razón legítima
Esto no es solo un riesgo de robo individual, sino también un riesgo para la seguridad nacional
Coinbase no hace aportes a mi cuenta del Seguro Social, así que no debería tener mi número de Seguro Social, y como no va a venir a mi casa, no debería tener mi dirección
Históricamente, las regulaciones de conoce a tu cliente eran comunes en los países del bloque comunista, pero en la mayoría de las democracias habrían sido difíciles de imaginar antes del 11-S
El 11-S dio una oportunidad perfecta para convertir en ley la lista de deseos de las agencias de inteligencia y, lamentablemente, eso ayuda tanto a agencias de inteligencia extranjeras como a las nacionales, o quizá incluso más
Aquí se puede ver cuándo se implementó en varios países: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...