Departament Sprawiedliwości USA bada atak hakerski na Coinbase po próbie wymuszenia okupu w wysokości 20 milionów dolarów.

Departament Sprawiedliwości Stanów Zjednoczonych prowadzi dochodzenie w sprawie naruszenia danych, w które zaangażowani byli skorumpowani zewnętrzni kontraktorzy powiązani z Coinbase, po tym jak atakujący uzyskali dostęp do danych użytkowników i je ujawnili.

Jak podaje Bloomberg, śledczy z wydziału kryminalnego Departamentu Sprawiedliwości w Waszyngtonie badają okoliczności, które doprowadziły do naruszenia bezpieczeństwa.

Jak donoszą media, w ramach śledztwa departament współpracuje z międzynarodowymi partnerami zajmującymi się egzekwowaniem prawa.

Coinbase poinformowało o incydencie władze i potwierdziło, że współpracuje z Departamentem Sprawiedliwości Stanów Zjednoczonych (DOJ).

„Zawiadomiliśmy Departament Sprawiedliwości i inne amerykańskie oraz międzynarodowe organy ścigania i współpracujemy z nimi. Z zadowoleniem przyjmujemy ściganie karnoprawne tych nieuczciwych podmiotów” – powiedział Paul Grewal, dyrektor ds. prawnych w Coinbase.

Departament Sprawiedliwości nie wydał oficjalnego komentarza w sprawie śledztwa.

Jednak agencja ma skupiać się na tym, w jaki sposób podwykonawcy spoza USA wykorzystywali dostęp do wewnętrznych systemów Coinbase oraz na tym, czy wewnętrzne systemy kontroli firmy były wystarczające.

Użytkownicy Coinbase w niebezpieczeństwie

Śledztwo koncentruje się wokół próby wymuszenia haraczu w wysokości 20 milionów dolarów, podjętej przez atakujących, którzy uzyskali dostęp do danych użytkowników po przekupieniu agentów obsługi klienta firm trzecich.

Firma Coinbase poinformowała, że 11 maja otrzymała żądanie okupu drogą mailową.

Naruszenie bezpieczeństwa zostało po raz pierwszy potwierdzone przez firmę Coinbase 15 maja, która podała, że dotknęło ono niewielką część użytkowników.

Chociaż hakerom nie udało się uzyskać dostępu do haseł ani środków finansowych, zdobyli dane osobowe, w tym imiona i nazwiska, adresy e-mail, a w niektórych przypadkach częściowe numery ubezpieczenia społecznego i dokumenty tożsamości.

Coinbase przypisuje naruszenie bezpieczeństwa metodom inżynierii społecznej.

Według doniesień, sprawcy ataku przekupili zagranicznych kontraktorów, którzy byli w stanie obejść standardowe środki bezpieczeństwa i uzyskać dostęp do chronionych systemów wewnętrznych.

Chociaż naruszenie zostało wykryte przez wewnętrzne systemy monitorowania, zewnętrzne dochodzenia sugerują, że trwało ono od miesięcy.

Zanim Coinbase ujawniło tę informację, niezależny analityk blockchainu, ZachXBT, wyrażał obawy dotyczące tego problemu.

W lutym ZachXBT zwrócił uwagę na serię oszustw, które dotknęły użytkowników Coinbase, wskazując, że napastnicy wykorzystywali dane z dostępem do informacji poufnych w celu dokonywania kradzieży.

Współpracując z Tanuki42, ZachXBT zidentyfikował schematy, w których oszuści podszywali się pod obsługę klienta Coinbase, uzyskując dostęp do danych prywatnych i w ten sposób nakłaniając użytkowników do przelewania środków.

Niektóre z tych transakcji były powiązane z portfelem oznaczonym jako „coinbase-hold.eth”.

Skrytykował również platformę za wcześniejsze zaniedbania w zakresie bezpieczeństwa, takie jak błędy w systemach weryfikacji i użycie źle skonfigurowanych kluczy API, twierdząc, że Coinbase nie podjęła działań w celu rozwiązania tych problemów ani nie ujawniła ich publicznie.

ZachXBT oszacował, że straty użytkowników w okresie od końca 2024 do początku 2025 roku mogą wynieść 300 milionów dolarów lub więcej.

Coinbase odpowiada

W międzyczasie Coinbase wszczęło wewnętrzne dochodzenie i rozpoczęło przenoszenie części swojego zespołu wsparcia do USA w celu lepszego nadzoru.

Według doniesień, agenci obsługi klienta zaangażowani w incydent zostali zwolnieni.

Coinbase zaoferowało również nagrodę w wysokości 20 milionów dolarów za informacje prowadzące do napastników i zobowiązało się do zwrócenia pieniędzy dotkniętym użytkownikom w każdym przypadku indywidualnie.

Ponadto wzmocniła swoje zabezpieczenia, wprowadzając ulepszoną weryfikację tożsamości dla transakcji wysokiego ryzyka, ostrzeżenia o oszustwach podczas wypłat oraz celowe opóźnienia w przetwarzaniu dla zgłoszonych kont.