A Coinbase, uma exchange de criptomoedas com mais de 100 milhões de clientes, revelou que cibercriminosos, trabalhando com agentes de suporte desonestos, roubaram dados de clientes e exigiram um resgate de US$ 20 milhões para não publicar as informações roubadas.
A empresa afirmou que não pagaria o resgate, mas criaria um fundo de recompensa de US$ 20 milhões para qualquer informação que pudesse ajudar a encontrar os atacantes que coordenaram esse ataque.
A revelação veio após os criminosos por trás do brecha enviarem um e-mail para a Coinbase em 11 de maio, exigindo um resgate de US$ 20 milhões para prevenir a divulgação pública de informações roubadas sobre determinadas contas de clientes e documentação interna.
Segundo a Coinbase, os atacantes obtiveram esses dados de clientes com a ajuda de contratados ou pessoal de suporte fora dos EUA que foram pagos para acessar sistemas internos.
A Coinbase demitiu os insders depois que foram detectados acessando sistemas sem autorização, mas não antes de exfiltrarem informações desses dispositivos.
Enquanto os threat actors conseguiram roubar uma combinação de informações de identificação pessoal de até 1% da base de clientes da Coinbase (cerca de 1 milhão de indivíduos), eles não conseguiram roubar as chaves privadas ou senhas dos clientes, e não tiveram acesso às contas Coinbase Prime e as carteiras hot ou cold (pertencentes aos clientes afetados ou à exchange de cripto).
Em um arquivo com a U.S. Securities and Exchange Commission (SEC), a empresa diz que os dados roubados neste incidente incluem:
Nome, endereço, telefone e e-mail;
Social Security mascarado (apenas os últimos quatro dígitos);
Números de contas bancárias mascarados e alguns identificadores de contas bancárias;
Imagens de identificação governamental (por exemplo, carteira de motorista, passaporte);
Dados da conta (snapshots do saldo e histórico de transações); e
Dados corporativos limitados (incluindo documentos, material de treinamento e comunicações disponíveis para agentes de suporte).
"Cibercriminosos subornaram e recrutaram um grupo de agentes de suporte externos desonestos para roubar dados de clientes da Coinbase para facilitar ataques de engenharia social.
Esses insiders abusaram de seu acesso aos sistemas de suporte ao cliente para roubar os dados da conta de um pequeno conjunto de clientes", disse a Coinbase em um post de blog na quinta-feira.
Nenhuma senha, chave privada ou fundos foram expostos e as contas da Coinbase Prime estão intactas.
Reembolsaremos os clientes que foram enganados a enviar fundos para o atacante.
Embora o impacto financeiro ainda esteja sendo avaliado e a Coinbase não tenha revelado quantos clientes foram enganados a enviar fundos para os atacantes em ataques subsequentes de engenharia social, a empresa estima que as despesas resultantes estarão "na faixa de aproximadamente US$ 180 milhões a US$ 400 milhões" para remediação e reembolsos aos clientes.
A Coinbase adicionou que abrirá um novo hub de suporte nos EUA, reembolsará clientes afetados enganados a enviar fundos para os atacantes após ataques de engenharia social e aumentará investimentos em detecção de ameaças internas, simulação de ameaças de segurança e resposta automatizada para prevenir futuras tentativas de brecha.
A empresa também aconselhou os clientes a desconfiar de golpistas se passando por funcionários da Coinbase e tentando enganá-los a transferir fundos ou pedindo informações sensíveis como senhas ou códigos 2FA.
Se isso acontecer, a exchange de cripto recomenda desligar, pois nunca solicita informações da conta por telefone ou pressiona clientes a transferir ativos para outras carteiras.
Para se defender contra ataques similares, você deve habilitar autenticação de dois fatores e ativar o allow-listing de saques, o que garante transferências seguras.
"Aos clientes afetados, pedimos desculpas pela preocupação e inconveniência que este incidente causou.
Continuaremos assumindo questões quando surgirem e investindo em defesas de classe mundial — porque é assim que protegemos nossos clientes e mantemos a economia cripto segura para todos," acrescentou a Coinbase.
A Coinbase reembolsará voluntariamente os clientes de varejo que enviaram fundos erroneamente para o golpista como resultado direto deste incidente antes da data deste post, após uma revisão para confirmar os fatos.
O estoque da Coinbase subiu 24% após a exchange de cripto se juntar ao S&P 500, um índice do mercado de ações que inclui 500 empresas líderes listadas nas bolsas de valores dos EUA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...