A Coinbase confirmou uma violação interna após um contratado acessar indevidamente dados de cerca de 30 clientes.
O incidente, ocorrido em dezembro, comprometeu informações sensíveis de um pequeno grupo de usuários.
Em comunicado, um porta-voz da Coinbase afirmou: "No ano passado, nossa equipe de segurança detectou que um único contratado da Coinbase acessou indevidamente informações de clientes, impactando um número muito reduzido de usuários (aproximadamente 30).
O indivíduo não presta mais serviços para a Coinbase.
Os usuários afetados foram notificados no ano passado e receberam serviços de proteção contra roubo de identidade, além de orientações adicionais.
Também comunicamos o incidente aos órgãos reguladores competentes, conforme o procedimento padrão."
Essa violação é distinta do caso divulgado anteriormente, envolvendo a TaskUs, empresa terceirizada, em janeiro de 2025.
A revelação ocorre após um grupo de criminosos cibernéticos autoidentificado como “Scattered Lapsus Hunters” (SLH) postar brevemente no Telegram capturas de tela de uma interface interna de suporte da Coinbase, exibindo dados como e-mails, nomes, datas de nascimento, telefones, informações de KYC (Know Your Customer), saldos de carteiras de criptomoedas e histórico de transações.
As publicações foram removidas pouco tempo depois.
É comum que dados furtados ou screenshots circulem entre diferentes grupos antes de serem divulgados publicamente, o que dificulta determinar se o SLH foi o responsável pela brecha interna ou se outros atores cibernéticos estão por trás do episódio.
O mesmo grupo já afirmou ter subornado um insider da CrowdStrike para obter imagens de aplicações internas.
Nos últimos anos, empresas de Business Process Outsourcing (BPO) têm sido alvo cada vez mais frequente dos criminosos digitais.
Essas empresas terceirizam tarefas operacionais, como suporte ao cliente, verificação de identidade, help desk de TI e gestão de contas, frequentemente tendo acesso a sistemas internos e dados sensíveis.
Por isso, são alvos valiosos para ataques que buscam comprometer informações ou redes corporativas.
No último ano, os métodos mais comuns para explorar as BPOs incluem o suborno de funcionários com acesso legítimo, ataques de engenharia social para obter permissões não autorizadas e o comprometimento de contas desses colaboradores.
Como evidenciado pela Coinbase, um vetor frequente envolve a cooptação de funcionários para vazamento ou roubo de dados de clientes.
A Coinbase divulgou um incidente semelhante no ano anterior, relacionado a representantes de suporte terceirizados da TaskUs, empresa que presta serviços para a exchange de criptomoedas.
Além disso, ataques de engenharia social contra equipes terceirizadas de TI e suporte têm se tornado cada vez mais comuns, com invasores se passando por empregados para obter acessos a sistemas internos.
Um caso emblemático envolveu invasores que, fingindo ser funcionários, convenceram um agente do help desk da Cognizant a liberar acesso a uma conta de empregado da Clorox, resultando na violação da rede da empresa.
O incidente originou uma ação judicial bilionária contra a Cognizant, avaliada em 380 milhões de dólares.
O Google também relatou ataques similares contra seguradoras americanas, com fraudadores usando engenharia social para acessar sistemas corporativos via help desks terceirizados.
No varejo, redes como Marks & Spencer e Co-op confirmaram ataques que ocorreram graças à exploração dos acessos dos funcionários de suporte, resultando em ransomwares e roubo de dados.
Em resposta a esses ataques, o governo do Reino Unido emitiu orientações focadas em proteger help desks e BPOs contra estratégias de engenharia social.
Além disso, hackers têm invadido contas dos próprios funcionários dessas terceirizadas para alcançar os dados dos clientes que eles gerenciam.
Em outubro, por exemplo, a Discord revelou uma brecha que expôs informações de 5,5 milhões de usuários após seu sistema de suporte Zendesk ser comprometido.
Embora a empresa não tenha detalhado o método de invasão, os criminosos afirmaram que usaram uma conta de um agente de suporte contratado via BPO para baixar os dados.
Essa recorrente exploração de prestadores de serviços terceirizados evidencia uma tendência clara: grupos maliciosos estão deixando de focar apenas em exploits e vulnerabilidades diretas para mirar nas terceirizadas.
Esses terceiros funcionam como pontos de entrada para acessar redes corporativas e informações confidenciais, representando um desafio crescente para a segurança das empresas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...