Le ministère de la Justice américain enquête sur le piratage de Coinbase après une tentative de rançon de 20 millions de dollars.

Le ministère américain de la Justice enquête sur une violation de données impliquant des sous-traitants tiers corrompus liés à Coinbase, après que des pirates informatiques ont eu accès aux données des utilisateurs et les ont divulguées.

Selon un rapport de Bloomberg, des enquêteurs de la division pénale du ministère de la Justice aux États-Unis, à Washington, examinent les circonstances qui ont mené à cette violation.

Le département travaillerait apparemment avec des partenaires internationaux chargés de l'application de la loi dans le cadre de l'enquête.

Coinbase a signalé l'incident aux autorités et a confirmé qu'elle coopère avec le ministère de la Justice des États-Unis.

« Nous avons informé le ministère de la Justice et d'autres agences d'application de la loi américaines et internationales, avec lesquelles nous collaborons, et nous nous félicitons des poursuites pénales engagées par les forces de l'ordre contre ces mauvais acteurs », a déclaré Paul Grewal, directeur juridique de Coinbase, cité dans un communiqué.

Le ministère de la Justice n'a pas encore publié de communiqué officiel concernant l'enquête.

Cependant, l'agence se concentrerait sur la manière dont les sous-traitants en dehors des États-Unis ont exploité leur accès aux systèmes internes de Coinbase et sur la suffisance des contrôles internes de l'entreprise.

Les utilisateurs de Coinbase sont en danger.

L'enquête porte sur une tentative d'extorsion de 20 millions de dollars menée par les pirates, qui avaient obtenu l'accès aux données des utilisateurs après avoir corrompu des agents de support tiers.

Coinbase a déclaré avoir reçu une demande de rançon par e-mail le 11 mai.

La violation de données a été initialement confirmée par Coinbase le 15 mai, qui a indiqué qu'un petit groupe d'utilisateurs avait été affecté.

Bien que les mots de passe et les fonds n'aient pas été compromis, les pirates ont obtenu des données personnelles, notamment des noms, des adresses électroniques et, dans certains cas, des numéros de sécurité sociale et des documents d'identité partiels.

Coinbase a attribué la violation à des tactiques d'ingénierie sociale.

Selon les informations, les auteurs de l'attaque auraient soudoyé des sous-traitants étrangers qui étaient en mesure de contourner les mesures de sécurité standard et d'accéder à des systèmes internes restreints.

Bien que la violation ait été signalée par des outils internes, des enquêtes externes suggèrent qu'elle durait depuis des mois.

Avant la divulgation d'informations par Coinbase, ZachXBT, un analyste indépendant spécialisé dans la blockchain, s'était déjà inquiété de ce problème.

En février, ZachXBT avait mis en lumière une série d'escroqueries ciblant les utilisateurs de Coinbase, soulignant que les auteurs utilisaient des données confidentielles pour commettre des vols.

En collaboration avec Tanuki42, ZachXBT a identifié des schémas dans lesquels des escrocs se faisaient passer pour le service d'assistance de Coinbase, accédaient à des données privées et trompaient les utilisateurs pour qu'ils transfèrent des fonds.

Une partie de cette activité était liée à un portefeuille portant l'étiquette « coinbase-hold.eth ».

Il a également critiqué la plateforme pour des failles de sécurité antérieures, telles que des bogues dans les systèmes de vérification et l'utilisation de clés API mal configurées, affirmant que Coinbase n'avait pas remédié à ces problèmes ni les divulgués publiquement.

ZachXBT estime que les pertes des utilisateurs entre fin 2024 et début 2025 pourraient atteindre 300 millions de dollars ou plus.

Réponse de Coinbase

En attendant, Coinbase a lancé une enquête interne et a commencé à transférer des parties de son équipe de support aux États-Unis pour une meilleure supervision.

Les agents de support impliqués dans l'incident auraient été licenciés.

Coinbase a également offert une récompense de 20 millions de dollars pour toute information menant aux auteurs de l'attaque, et s'est engagée à rembourser les utilisateurs concernés au cas par cas.

De plus, elle a renforcé sa sécurité en introduisant une vérification d'identité améliorée pour les transactions à haut risque, des avertissements sur les arnaques lors des retraits et des délais de traitement intentionnels pour les comptes signalés.