Coinbase เผยแฮ็กเกอร์ติดสินบนพนักงาน ขโมยข้อมูลลูกค้า ก่อนเรียกค่าไถ่ 20 ล้านดอลลาร์

ความเห็นจาก Hacker News

• ช่วงหลังมานี้ฉันโดนโทร spear phishing แบบแนบเนียนอยู่เรื่อย ๆ พวกเขาใช้มุกเดิมคืออ้างว่าฉันต้องยืนยันธุรกรรมต้องสงสัย พูดอังกฤษสำเนียงอเมริกันได้คล่อง น้ำเสียงเป็นมิตรมาก แถมยังรู้ยอดคงเหลือในบัญชีฉันด้วย ตอนสายแรกก็จับได้ทันทีว่าเป็นมิจฉาชีพ และหลังจากนั้นก็ปลอดภัยเพราะฟีเจอร์คัดกรองสายของ Google ทำให้อยากส่งสายพวกนี้ต่อให้ Kitboga จริง ๆ ตอนแรกพยายามหลอกลูกค้า Coinbase แล้วสุดท้ายก็หันมาแบล็กเมล Coinbase เอง

  • ถ้าเคยมีทรัพย์สินอยู่ใน Coinbase เยอะพอสมควร spear phishing ถือเป็นเรื่องน่ากังวลน้อยที่สุดแล้ว Coinbase ไม่ได้ทำข้อมูลรั่วแค่ชื่อกับที่อยู่ แต่รวมถึงยอดคงเหลือ ประวัติธุรกรรม และรูปเอกสารยืนยันตัวตนด้วย หลายคนถึงขั้นถูกทำร้ายตามท้องถนนหรือที่บ้านจริง ๆ หรือแม้แต่คนในครอบครัวถูกลักพาตัว เงินไม่ถึง 10,000 ดอลลาร์ก็ยังถือว่าเป็นทรัพย์สิน "มากพอ" จนถึงตอนนี้การป้องกันที่ดีที่สุดคือการเก็บเป็นความลับ แต่เพราะ Coinbase ตอนนี้สิ่งนั้นก็หายไปแล้ว คนร้ายสามารถรู้ได้ว่าใครเคยถือเงินก้อนใหญ่ใน Coinbase หรือเคยถอนเป็นเงินสด และยังหาข้อมูลครอบครัวหรือใช้เป็นเป้าข่มขู่ได้ง่ายด้วย ต่อให้ Coinbase มีหน้าที่ต้องชดใช้ความเสียหายทั้งหมดที่เกิดจากเรื่องนี้ ถ้าทำจริงบริษัทก็น่าจะล้มละลาย

  • ฉันเพิ่งเปลี่ยนจาก Pixel มาใช้ iPhone แล้วตกใจมากที่เจอสายสแปมเยอะขนาดนี้ อยากรู้ว่าคนใช้ iPhone รับมือกับเรื่องนี้ยังไง

  • สงสัยว่าโทร spear phishing เพิ่มขึ้นมานานแค่ไหนแล้ว ฉันไม่เชื่อที่ Coinbase บอกว่าการโจมตีครั้งนี้เป็นปัญหาเชิงระบบ

  • ฉันได้รับ SMS รหัสยืนยันการล็อกอินของ Coinbase เรื่อย ๆ ทั้งที่ไม่ได้พยายามล็อกอินเลย บัญชี Microsoft ก็เป็นเหมือนกัน เดาว่ามีใครกำลังทดสอบว่าอีเมลฉันใช้ล็อกอินได้ไหม

  • อยากรู้ว่าเบอร์ที่โทรมามาจากไหน ฉันโดนสาย phishing เยอะมาก แต่จะไม่รับเบอร์ที่ไม่รู้จักเด็ดขาด พอใช้ Google Call Screen พวกมันก็วางสายทุกครั้ง เลยยิ่งมั่นใจว่าเป็นมิจฉาชีพ

  • เพราะ AI การหลอกลวงเลยยิ่งแนบเนียนขึ้น ความผิดพลาดด้านการสะกดคำก็หายไปเยอะ เมื่อไม่นานมานี้ฉันลองเปิดอีเมล phishing ดูเล่น ๆ แล้วเจอว่ามีตัวอักษร Unicode แปลผิดอยู่บ้าง ยังไม่ถึงกับสมบูรณ์แบบ แต่เห็นได้ชัดว่ามันกำลังแยบยลขึ้นเรื่อย ๆ

  • สัปดาห์ที่แล้วฉันได้รับสายแบบนี้สามสี่ครั้งเลย

  • สงสัยว่าสำเนียงที่เป๊ะขนาดนั้นเป็นผลจากแมชชีนเลิร์นนิงหรือเปล่า

  • พอเห็นว่าพวกเขาพูดอังกฤษได้สมบูรณ์แบบและยังรู้ยอดเงินในบัญชี ก็อดจินตนาการไม่ได้ว่าอาจเป็นอดีตพนักงาน Coinbase

  • รู้สึกขมขื่นว่าเรื่องแบบนี้ไม่มีวันหยุด และตอนนี้องค์ประกอบแบบอาชญากรรมได้กลายเป็นทุนนิยมที่ถูกกฎหมายไปแล้ว

• มีการชี้ว่าปัญหาคือข้อมูลที่รั่วดูเหมือนจะเป็นข้อมูลเดียวกับที่ใช้กู้คืนบัญชี นั่นหมายความว่าถ้าคุณพลาดเองหรือเกิดปัญหาฝั่ง Coinbase จนเข้าใช้บัญชีไม่ได้ ขั้นตอนกู้คืนก็จะไม่ง่ายอีกต่อไป แฮ็กเกอร์ก็อาจลองกู้คืนบัญชีด้วยข้อมูลที่รั่วได้ด้วย ทางออกที่เสนอคือควรมีสาขาออฟไลน์ในโลกจริงสำหรับรองรับการกู้คืนบัญชี ถ้าเป็นการทำต่อหน้าก็สามารถจับและดำเนินคดีกับอาชญากรได้ และเป็นกำแพงใหญ่สำหรับอาชญากรจากต่างประเทศ ทางแก้ที่แน่นอนที่สุดคือ 2FA แบบฮาร์ดแวร์อย่าง Yubikey

  • อุตสาหกรรมคริปโตกำลังได้เรียนรู้อย่างรวดเร็วอีกครั้งว่าทำไมระบบการเงินแบบดั้งเดิมถึงมีอยู่ สิ่งที่เรียกว่าออฟฟิศ IRL นั้น หลายคนที่สนับสนุนคริปโตจะเรียกมันว่า "ธนาคาร"

  • ถ้ามีประวัติฝากถอนตรงจากวอลเล็ตของตัวเอง การส่งข้อความที่เซ็นด้วยคีย์ของที่อยู่ที่ลงทะเบียนไว้กับ Coinbase ก็น่าจะเป็นวิธีกู้คืนที่เชื่อถือได้ แก่นแท้ของคริปโตก็คือ PKI อีกรูปแบบหนึ่ง

  • ถ้ามีสาขาออฟไลน์ ก็จะเกิดความจริงที่ว่าคนบางคนอาจต้องเดินทางไกลไปอีกเมืองเพื่อกู้การเข้าถึงบัญชี แม้จะไม่ใช่ความผิดของผู้ใช้เองก็ตาม เช่น ระบบตรวจจับความเสี่ยงไวเกินไป แบบนั้นคนที่ถูกล็อกเอาต์ก็คงไม่พอใจมาก

  • ฉันคิดว่าถ้าใครมีความรู้ทางเทคนิคมากพอจะใช้ Yubikey ได้ ก็น่าจะไปซื้อ hardware wallet มาเก็บเองตั้งแต่แรก

  • ถ้า Coinbase ต้องมีสาขาออฟไลน์ นั่นก็แปลว่ามันเป็นธนาคารธรรมดา

  • ต่อให้ 2FA แบบฮาร์ดแวร์อย่าง Yubikey เป็นทางออกเดียว ถ้าทำหายก็กลับไปสู่ขั้นตอนกู้คืนบัญชีเหมือนเดิม

  • ที่บอกว่า Coinbase ต้องมีสาขาออฟไลน์นี่เป็นการประชดใช่ไหม

• ฉันติดต่อฝ่ายสนับสนุนลูกค้าของ Coinbase เพื่อถามว่าบัญชีฉันได้รับผลกระทบจากการแฮ็กครั้งนี้ไหม ผ่าน AI chatbot แล้วต่อถึงเจ้าหน้าที่จริง ปรากฏว่าพวกเขาไม่รู้เรื่องการแฮ็กนี้เลย เหมือนฉันเป็นคนแรกที่บอก

  • มีการส่งอีเมลถึงบัญชีที่ได้รับผลกระทบ ฉันเป็นหนึ่งในผู้ใช้ที่ได้รับผลกระทบ

  • ลูกค้าคนแรกอาจแค่เจอเจ้าหน้าที่ขี้เกียจก็ได้

  • ฉันเคยเจอเจ้าหน้าที่ตอบตามสคริปต์ว่า "ไม่รู้มาก่อน คุณเป็นคนแรกที่เล่าเรื่องนี้ให้ฟัง"

• ดูเหมือน Coinbase พยายามเว้นระยะห่างระหว่างตัวเองกับ "พนักงานซัพพอร์ตนอกระบบในต่างประเทศ" ถ้าคนเหล่านั้นเป็นพนักงานหรือผู้รับเหมาของ Coinbase จริง ก็แทบจะเท่ากับบริษัทขายข้อมูลให้แฮ็กเกอร์โดยตรง การชดเชยลูกค้าที่เสียหายจากการถูกหลอกถือเป็นเรื่องสมเหตุสมผล แต่ถ้าลูกค้าต้องย้ายบ้าน เปลี่ยนธนาคาร เปลี่ยนอีเมล หรือถึงขั้นจ้างเจ้าหน้าที่รักษาความปลอดภัย จะสามารถเรียกเก็บค่าใช้จ่ายเหล่านี้จากบริษัทได้ไหมก็เป็นคำถาม

  • ถ้าพนักงานฝ่าฝืนนโยบายบริษัทหรือขโมยข้อมูลลับไปส่งให้แฮ็กเกอร์อย่างผิดกฎหมาย ก็ยากจะพูดได้ว่า "บริษัทของเราเป็นคนขายข้อมูล"

• มีการแชร์สิ่งที่ Coinbase เขียนไว้ในบล็อกทางการ: ลูกค้าที่ถูกหลอกให้โอนเงินจะได้รับการชดเชย และลูกค้าที่ข้อมูลถูกเปิดเผยได้รับอีเมลไปแล้วเมื่อวันที่ 15 พฤษภาคม เวลา 7:20 น. ตามเวลา Eastern

  • การเลือกใช้อีเมลแบบ no-reply น่าสนใจดี มันแสดงให้เห็นว่าความเป็นศูนย์กลางและศูนย์บริการลูกค้าของ Coinbase เป็นจุดแข็งใหญ่ก็จริง แต่ในขณะเดียวกันสิ่งนี้เองก็ทำให้การโจมตีแบบ social engineering เป็นไปได้

  • น่าสงสัยว่าทำไมบัญชี Coinbase Prime ถึงไม่อยู่ในขอบเขตข้อมูลรั่ว บัญชี Prime มีการป้องกันพิเศษหรือเปล่า หรือพวกมิจฉาชีพแค่สนใจบัญชีแบบนั้นน้อยกว่า

• เพราะกฎหมาย KYC ของรัฐบาล Coinbase จึงตกอยู่ในสถานการณ์ที่ต้องเก็บข้อมูลอ่อนไหวมากกว่าที่จำเป็นต่อการยืนยันตัวตนมาก และที่รูปบัตรประชาชนหรือเอกสารยืนยันตัวตนถูกขโมยไปด้วยก็เป็นผลจากภาครัฐ รวมถึงการต้องรับมือทั้งอาชญากรและพนักงานภายในที่ไม่รู้จะเอาข้อมูลเหล่านี้ไปทำอะไรบ้าง

  • KYC มีเหตุผลของมันเองเพียงพออยู่แล้ว ปัญหาไม่ใช่กฎระเบียบของรัฐบาล แต่เป็นบริษัทเอกชนที่จัดการข้อมูลลูกค้าอย่างหละหลวม ยิ่งหละหลวมก็ยิ่งต้นทุนต่ำ และเพราะข้อมูลไม่ใช่ของตัวเองจึงมีแรงจูงใจน้อยที่จะปกป้องมัน ถ้าไม่มีการบังคับก็จะไม่ยอมทำตาม

  • การอ้างว่าต้องเก็บข้อมูลอ่อนไหวไว้ต่อเนื่องเพราะ KYC เป็นข้อแก้ตัว จำเป็นต้องพูดกันตรง ๆ ว่าทำไมเจ้าหน้าที่ทุกคนถึงเข้าถึงเอกสารยืนยันตัวตนได้แบบถาวร

• คิดว่าการตอบสนองของ Coinbase ค่อนข้างดี: ไม่ยอมจ่ายค่าไถ่ 20 ล้านดอลลาร์เด็ดขาด แต่ตั้งกองทุนรางวัล 20 ล้านดอลลาร์แทนสำหรับข้อมูลที่นำไปสู่การจับกุมคนร้าย

  • มีคนชี้ว่านี่เป็นกลยุทธ์เดียวกับในหนังปี 1996 เรื่อง 'Ransom'

  • จากมุมมองลูกค้า การจ่ายค่าไถ่เพื่อจำกัดการแพร่ของข้อมูลอาจสำคัญกว่า การตั้งเงินรางวัลก็ดี แต่สิ่งเร่งด่วนกว่าคือปกป้องข้อมูลที่หลุดไปแล้ว

  • ฉันชอบวิธีตอบโต้แบบนี้ ช่วงเวลาแบบนี้ยิ่งถ้าบริษัทไม่ใช้ถ้อยคำแข็งทื่อ แต่ส่งสารแรง ๆ ประมาณว่า “ไอ้พวกแฮ็กเกอร์เวร เอ็งไปตายซะ!” คนจำนวนมากก็น่าจะตอบรับดี

• เขาแค่บอกว่ามีการจ้าง "พนักงานซัพพอร์ตนอกระบบในต่างประเทศ" โดยไม่บอกว่าประเทศไหน และตอนแรกทำไมถึงต้องจ้างพวกเขา บริษัทที่มีรายได้ระดับหลายพันล้านดอลลาร์อยู่แล้วกลับยังคัดเลือกและตรวจสอบคนไม่ได้ดีพอก็ดูน่าแปลกใจ

• สำหรับการตั้ง "กองทุนเงินรางวัล 20 ล้านดอลลาร์" ปกติฉันวิจารณ์วงการคริปโตเป็นหลัก แต่ครั้งนี้ขอชมจริง ๆ หวังว่าจะมีการจ่ายรางวัลนั้นจริง

  • มีคนล้อว่าอาจจ่ายเงินรางวัลนั้นเป็นคริปโต

• ให้ความรู้สึกเดจาวู ถ้า Coinbase เพิ่งเริ่มรู้ว่ามีอะไรผิดปกติก็ตอนแฮ็กเกอร์เรียกเงิน อาจต้องสงสัยด้วยซ้ำว่าพวกเขาไม่ได้เก็บ access log ของพนักงานไว้หรือเปล่า เลยสงสัยว่าภายในมีวิธีติดตามความรับผิดชอบขั้นต่ำบ้างไหม น่าจะทำระบบติดตามการเข้าถึงแบบง่าย ๆ และบล็อกพฤติกรรมผิดปกติหรือพนักงานที่เป็นภัยได้ทันที อยากเห็นเหมือนกันว่าค่าชดเชยตอนผู้บริหารระดับสูงลาออกหลังเหตุการณ์นี้จะออกมาเป็นแบบไหน

  • ถ้าดูจากบล็อกทางการ จะเห็นว่าพนักงานฝ่ายบริการลูกค้ามีสิทธิ์เข้าถึงข้อมูลอ่อนไหวอยู่แล้ว และรับเงินจากผู้โจมตีเพื่อส่งต่อข้อมูลเหล่านั้น แฮ็กเกอร์ไม่ได้เข้าถึงบัญชีโดยตรง

  • ฉันเคยมีประสบการณ์ว่าหลังเริ่มจ้างพนักงานนอกสหรัฐฯ ต้องเพิ่มชั้นความปลอดภัยหลายระดับให้แผงผู้ดูแลภายใน เช่น บันทึกล็อก การเฝ้าระวัง การอนุมัติจากผู้ดูแล เป็นต้น วงการบัตรเครดิตมีมาตรฐาน PCI-DSS ทำให้เกณฑ์คุ้มครองข้อมูลเข้มงวดมาก วงการคริปโตดูเหมือนจะมีความตระหนักด้านความปลอดภัยต่ำกว่าเพราะขาดข้อกำหนดแบบนี้

  • อย่างน้อยที่สุดต้องมีการบันทึกล็อกและการตรวจสอบย้อนหลัง และก็ไม่เกินเลยที่จะให้เจ้าหน้าที่คอลเซ็นเตอร์ขอข้อมูลยืนยันที่ลูกค้าไม่สามารถรู้เองได้ง่าย ๆ กรณีที่ลูกค้าถูกล็อกเอาต์จริง ๆ ก็ให้พนักงานจำนวนน้อยมากที่ถูกควบคุมเข้มงวดกว่าปกติเป็นผู้ดำเนินการ แม้สถิติจะบอกว่ามีผู้ใช้ถูกเข้าถึงไม่ถึง 1% ต่อเดือน ฉันก็ยังคิดว่านั่นเป็นตัวเลขที่ใหญ่พอสมควร