- Coinbase เปิดเผยเหตุข้อมูลลูกค้ารั่วไหลหลังบุคลากรฝ่ายสนับสนุนในต่างประเทศถูกติดสินบน โดยผู้โจมตีพยายามนำข้อมูลไปใช้ในการโจมตีแบบ social engineering และคาดว่าค่าใช้จ่ายในการรับมืออาจสูงสุดถึง 400 ล้านดอลลาร์
- ผู้โจมตีอ้างว่าได้ข้อมูลบัญชีลูกค้าบางส่วนและเอกสารภายในเมื่อวันที่ 11 พฤษภาคม และเรียกร้อง 20 ล้านดอลลาร์ แลกกับการไม่เปิดเผยข้อมูล
- ข้อมูลที่รั่วไหลประกอบด้วยชื่อ ข้อมูลติดต่อ ข้อมูลบัญชีธนาคารแบบปกปิดบางส่วน ภาพเอกสารยืนยันตัวตน และยอดคงเหลือในบัญชี แต่ รหัสผ่าน·private key·เงินทุน ไม่ได้รั่วไหล และบัญชี Coinbase Prime ก็ไม่ได้รับผลกระทบ
- Coinbase ปฏิเสธการจ่ายค่าไถ่ และกำลังร่วมมือกับหน่วยงานบังคับใช้กฎหมาย พร้อมปลดพนักงานที่เกี่ยวข้อง เตือนลูกค้าที่อาจได้รับผลกระทบ และเสริมความคุ้มครองด้าน การติดตามการฉ้อโกง
- บริษัทตั้ง เงินรางวัล 20 ล้านดอลลาร์ สำหรับข้อมูลที่นำไปสู่การจับกุมและตัดสินลงโทษผู้รับผิดชอบการโจมตี และระบุว่าจะชดเชยให้ลูกค้าที่ถูกหลอกจนโอนเงินให้ผู้โจมตี
การขโมยข้อมูลที่เกิดจากการติดสินบนบุคลากรฝ่ายสนับสนุนในต่างประเทศ
- ตามข้อมูลของ Coinbase อาชญากรไซเบอร์ติดสินบนเจ้าหน้าที่สนับสนุนในต่างประเทศเพื่อขโมยข้อมูลลูกค้า และตั้งใจจะนำข้อมูลนี้ไปใช้ในการโจมตีแบบ social engineering
- ค่าใช้จ่ายในการรับมือเหตุการณ์ครั้งนี้อาจสูงสุดถึง 400 ล้านดอลลาร์
- ราคาหุ้น Coinbase ร่วงมากกว่า 6% ในการซื้อขายช่วงเช้า
การเรียกร้อง 20 ล้านดอลลาร์และการตอบโต้ของ Coinbase
- Coinbase ได้รับอีเมลเมื่อวันที่ 11 พฤษภาคม ซึ่งอ้างว่าได้ครอบครองข้อมูลบัญชีลูกค้าบางส่วนและเอกสารภายใน
- บริษัทแจ้งใน เอกสารยื่นต่อ SEC ว่าเอกสารภายในดังกล่าวมีเนื้อหาเกี่ยวกับระบบบริการลูกค้าและการจัดการบัญชี
- ผู้โจมตีเรียกร้อง 20 ล้านดอลลาร์ เพื่อแลกกับการไม่เปิดเผยข้อมูลดังกล่าว
- Coinbase ไม่จ่ายค่าไถ่ และกำลังสืบสวนเหตุการณ์ร่วมกับหน่วยงานบังคับใช้กฎหมาย
- บริษัทระบุใน บทความบล็อก ว่าแทนที่จะยอมตามข้อเรียกร้อง จะจัด เงินรางวัล 20 ล้านดอลลาร์ สำหรับข้อมูลที่นำไปสู่การจับกุมและตัดสินลงโทษอาชญากร
ข้อมูลที่ถูกเปิดเผยและขอบเขตผลกระทบ
- ข้อมูลที่ได้รับผลกระทบมีข้อมูลลูกค้าที่มีความอ่อนไหวรวมอยู่ด้วย
- ชื่อ ที่อยู่ หมายเลขโทรศัพท์ อีเมล
- หมายเลขบัญชีธนาคารและตัวระบุที่ถูกปกปิดบางส่วน
- 4 หลักสุดท้ายของหมายเลข Social Security
- ภาพเอกสารยืนยันตัวตนที่ออกโดยหน่วยงานรัฐ
- ยอดคงเหลือในบัญชี
- รหัสผ่าน, private key, เงินทุน ไม่ได้รั่วไหล
- บัญชี Coinbase Prime ไม่ได้รับผลกระทบ
- ลูกค้าที่ถูกหลอกและโอนเงินให้ผู้โจมตีจะได้รับ การชดเชยคืน
การใช้สิทธิ์เข้าถึงภายในในทางที่ผิดและการตรวจพบล่วงหน้า
- ผู้โจมตีใช้เงินติดสินบนผู้รับจ้างต่างประเทศและพนักงานในบทบาทฝ่ายสนับสนุนเพื่อให้ได้ข้อมูล
- บุคคลภายในที่ถูกติดสินบนใช้สิทธิ์เข้าถึงระบบสนับสนุนลูกค้าในทางที่ผิด เพื่อขโมยข้อมูลบัญชีของลูกค้าบางส่วน
- Coinbase ระบุว่าตรวจพบการละเมิดนี้ได้ด้วยตนเองในช่วงหลายเดือนก่อนหน้า และได้ปลดพนักงานที่เกี่ยวข้องทันที
- บริษัทได้เตือนลูกค้าที่อาจมีการเข้าถึงข้อมูล และเสริมความคุ้มครองด้าน การติดตามการฉ้อโกง
ความเคลื่อนไหวทางธุรกิจล่าสุดของ Coinbase
- Coinbase ดำเนินการแพลตฟอร์มซื้อขายคริปโตเคอร์เรนซีรายใหญ่ที่สุดในสหรัฐฯ
- ในช่วงสัปดาห์ที่ผ่านมา บริษัทประกาศการเข้าซื้อกิจการที่คาดว่าจะช่วยสนับสนุนการขยายตัวระดับโลก และยังยืนยันการถูกบรรจุเข้า S&P 500 ซึ่งจะมีผลตั้งแต่สัปดาห์หน้า
- ในคอนเฟอเรนซ์คอลประกาศผลประกอบการเมื่อสัปดาห์ที่แล้ว CEO Brian Armstrong กล่าวถึงเป้าหมายที่จะทำให้ Coinbase เป็นแอปบริการทางการเงิน อันดับ 1 ของโลก ภายใน 5 ถึง 10 ปีข้างหน้า
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ลิงก์ต้นฉบับเอกสารที่ยื่นต่อ SEC: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
ผมได้รับ โทรศัพท์ spear phishing อยู่เรื่อย ๆ จากฝั่งนี้หรือจากใครบางคนที่ซื้อข้อมูลที่รั่วไป
เป็นกลวิธีแบบเดิม ๆ ที่บอกว่าต้องยืนยันธุรกรรมที่อาจเป็นการฉ้อโกง พูดภาษาอังกฤษได้สมบูรณ์แบบด้วยสำเนียงอเมริกัน ฟังดูเป็นมิตรมาก และยังรู้ยอดเงินในบัญชีด้วย
โชคดีที่ผมรู้ทันตั้งแต่สายแรกว่าเป็นมิจฉาชีพ ส่วนสายที่เหลือฟีเจอร์คัดกรองสายของ Google ก็ช่วยบล็อกได้ดี
ถ้าเป็นไปได้ก็อยากโอนสายไปหา Kitboga เลย: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase ไม่ได้ส่งต่อแค่ชื่อกับที่อยู่ แต่รวมถึง ยอดเงิน ประวัติธุรกรรม และภาพบัตรประจำตัวที่ออกโดยรัฐบาล ด้วย และคนที่มียอดคริปโตจำนวนมากกำลังถูกทำร้ายตามถนนหรือที่บ้าน หรือครอบครัวถูกลักพาตัวเพื่อเรียกค่าไถ่
คำว่า “จำนวนมาก” ในที่นี้อาจหมายถึง 10,000 ดอลลาร์หรือน้อยกว่านั้นก็ได้
จนถึงตอนนี้การป้องกันที่ดีที่สุดคือการเก็บเป็นความลับ และไม่พูดเรื่องคริปโตต่อสาธารณะในลักษณะที่เชื่อมโยงกับชื่อจริงได้ แต่เพราะ Coinbase แนวป้องกันนั้นหายไปแล้ว
คนร้ายสามารถรู้ได้ว่าใครบ้างเคยมียอดเงินที่มีนัยสำคัญใน Coinbase ยอดนั้นถูกแปลงเป็นเงินสดไปแล้วหรือไม่และเป็นจำนวนเท่าไร รวมถึงเคยย้ายโทเคนออกจากกระดานเทรดไปยังกระเป๋าของตัวเองหรือไม่
ตอนนี้พวกเขารู้แล้วว่าใครคุ้มค่าพอที่จะลักพาตัวและอาศัยอยู่ที่ไหน และถ้า Google ชื่อกับที่อยู่บ้าน ก็มักจะเจอชื่อสมาชิกครอบครัวที่อาจตกเป็นเป้าข่มขู่หรือลักพาตัวด้วย
Coinbase คงไม่ถูกบังคับให้ชดใช้ค่าเสียหายจริงทั้งหมด ซึ่งค่าใช้จ่ายนั้นน่าจะมากพอทำให้บริษัทล้มละลายได้
อยากรู้ว่าผู้ใช้ iPhone จัดการเรื่องนี้กันอย่างไร
บัญชี Microsoft ก็เป็นเหมือนกัน
ปกติก็แค่เพิกเฉย แต่ดูเหมือนมีใครบางคนกำลังทดสอบว่าใช้อีเมลของผมล็อกอินได้หรือไม่
คำอธิบายที่ว่า Coinbase ไม่เห็นว่านี่เป็น ปัญหาเชิงระบบ จนกระทั่งถูก “อาชญากรไซเบอร์” ติดต่อมานั้นเชื่อได้ยาก
ไม่นานมานี้ผมลองดูอีเมลฟิชชิงด้วยความสงสัย แล้วสังเกตเห็นอักขระ Unicode แปลก ๆ ที่ถูกแปลผิด จึงรู้ทันทีว่าเป็นร่องรอยของการแปลห่วย ๆ
ยังไม่สมบูรณ์แบบ แต่ทำมาได้ค่อนข้างดี
ปัญหาคือข้อมูลที่รั่วดูเหมือนจะเป็นข้อมูลที่ใช้สำหรับ การกู้คืนบัญชี
นั่นหมายความว่าถ้าคุณสูญเสียสิทธิ์เข้าถึงบัญชี ไม่ว่าจะเป็นความผิดของคุณเองหรือของ Coinbase ขั้นตอนกู้คืนอาจไม่ง่ายอีกต่อไป และแฮกเกอร์ก็อาจใช้ข้อมูลที่รั่วนี้พยายาม “กู้คืน” บัญชีได้
Coinbase จำเป็นต้องมีสาขาออฟไลน์ ควรมีสถานที่ที่จัดการเรื่องอย่างการกู้คืนบัญชีแบบพบหน้าได้ และสามารถจับคนที่พยายามขโมยเงินไปดำเนินคดีได้ อีกทั้งยังเป็นอุปสรรคใหญ่สำหรับขโมยที่มักปฏิบัติการจากต่างประเทศ
ทางออกเดียวตรงนี้คือ การยืนยันตัวตนสองขั้นตอนด้วยฮาร์ดแวร์ อย่าง YubiKey
สิ่งที่เพิ่งอธิบายไปก็เหมือนกับสิ่งที่ผู้สนับสนุนคริปโตจำนวนมากเรียกว่า ธนาคาร นั่นแหละ
ยังไงคริปโตก็เป็น โครงสร้างพื้นฐานกุญแจสาธารณะ อีกแบบหนึ่งอยู่แล้ว
ผมติดต่อฝ่ายสนับสนุนลูกค้าของ Coinbase เพื่อยืนยันว่าผมได้รับผลกระทบหรือไม่
หลังจากเสียเวลาไปกับ บอต AI ก็ได้คุยกับคนจริง แต่พนักงานคนนั้นไม่รู้เรื่องการรั่วไหลเลย และผมเป็นคนแรกที่บอกเขา
ที่มา: ผมได้รับผลกระทบ
เหตุผลที่ Coinbase ต้องเก็บข้อมูลอ่อนไหวไว้มากกว่าที่จำเป็นสำหรับการยืนยันตัวตนและการพิสูจน์ตัวตนมาก ๆ ก็เพราะ กฎรู้จักลูกค้าของคุณ
รูปถ่ายหนังสือเดินทางถูกขโมยไป และไม่ว่าอาชญากรหรือพนักงาน Coinbase ที่ประสงค์ร้ายจะเอาข้อมูลนั้นไปทำอะไร ส่วนหนึ่งของความรับผิดชอบนั้นต้องขอบคุณรัฐบาล
ปัญหาตรงนี้ไม่ใช่กฎระเบียบของรัฐบาล แต่เป็นบริษัทเอกชนที่จัดการข้อมูลลูกค้าอย่างหละหลวม
การทำแบบหละหลวมมีต้นทุนถูก และข้อมูลที่ตกอยู่ในความเสี่ยงไม่ใช่ของบริษัทแต่เป็นของลูกค้า ดังนั้นถ้าไม่ถูกบังคับด้วยกฎหมาย แรงจูงใจที่จะปกป้องอย่างเหมาะสมจึงมีน้อย
ควรอธิบายอย่างตรงไปตรงมาว่าทำไมเจ้าหน้าที่สนับสนุนทุกคนถึงต้องเข้าถึงเอกสารยืนยันตัวตนได้อย่างถาวร
เอกสารนั้นจำเป็นเฉพาะสำหรับ กฎรู้จักลูกค้าของคุณ เท่านั้น
ดูเหมือน Coinbase จะพยายามอย่างมากที่จะแยกตัวเองออกจากสิ่งที่เรียกว่า “เจ้าหน้าที่สนับสนุนประสงค์ร้ายในต่างประเทศ”
ถ้าคนเหล่านั้นเป็นพนักงานหรือผู้รับเหมาของ Coinbase ก็เท่ากับว่าบริษัทขายข้อมูลของตัวเองให้แฮกเกอร์ แล้วแฮกเกอร์ก็กลับมาเรียกค่าไถ่อีกที
การชดใช้ให้ลูกค้าที่ถูกหลอกให้โอนเงินนั้นสมเหตุสมผล เพราะเหตุผลในการฟ้องร้องที่ว่าการกระทำของ Coinbase นำไปสู่ความสูญเสียดูค่อนข้างชัดเจน
สิ่งที่ผมสงสัยมากกว่าคือ คนที่รู้สึกว่าจำเป็นต้องย้ายบ้าน เปลี่ยนธนาคาร เปลี่ยนอีเมล หรือจ้างเจ้าหน้าที่รักษาความปลอดภัย จะชนะคดีที่เรียกร้องให้บริษัทจ่ายค่าใช้จ่ายบางส่วนหรือทั้งหมดได้หรือไม่
ถ้าพนักงานบริษัทฝ่าฝืนนโยบาย และน่าจะผิดกฎหมายด้วย โดยนำ ข้อมูลภายในของบริษัท ออกไปขายให้แฮกเกอร์ ก็คงพูดยากว่า “บริษัทของเราขายข้อมูล”
บล็อกโพสต์ของ Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
ระบุว่าจะชดเชยให้ลูกค้าที่ถูกหลอกให้ส่งเงินไปให้ผู้โจมตีผ่านการโจมตีแบบ social engineering และบอกว่าได้ส่งอีเมลจาก no-reply@info.coinbase.com ไปยังลูกค้าที่ข้อมูลถูกเข้าถึงแล้ว
ระบุว่าการแจ้งเตือนทั้งหมดที่ส่งถึงลูกค้าที่ได้รับผลกระทบถูกส่งออกไปเมื่อวันที่ 15/5 เวลา 7:20 น. ตามเวลาฝั่งตะวันออก
เข้าใจได้ว่าการบริหารบริษัทอย่าง Coinbase นั้นยาก แต่จุดแข็งที่สุดอย่างความเป็นศูนย์กลางและฝ่ายสนับสนุนลูกค้านี่เองก็เป็นปัจจัยที่ทำให้ social engineering แบบนี้เกิดขึ้นได้ จึงรู้สึกเป็นทางเลือกที่แปลก ๆ
ไม่รู้ว่าหลัง paywall ของ Coinbase Prime มีชั้นการปกป้องข้อมูลเพิ่มเติมหรือไม่ หรือจงใจเลี่ยงเพราะมีแนวโน้มว่าเป็นผู้ใช้ที่เชี่ยวชาญกว่า
ตามคำอธิบายการรั่วไหล ดูเหมือนว่าผู้โจมตีจ่ายเงินให้ผู้รับเหมาหรือพนักงานหลายคนที่ทำงานสนับสนุนนอกสหรัฐฯ ให้รวบรวมข้อมูลจากระบบภายในของ Coinbase ที่พวกเขามีสิทธิ์เข้าถึงตามหน้าที่
จากข้อมูลที่รั่วไหล แหล่งที่มาน่าจะเป็นฝ่ายสนับสนุนลูกค้าในฟิลิปปินส์มาก
เงินเดือนโดยทั่วไปต่ำกว่า 1,000 ดอลลาร์ต่อเดือน และตำแหน่งเริ่มต้นอาจไม่ถึง 500 ดอลลาร์ด้วยซ้ำ ดังนั้นสินบน 5,000 ดอลลาร์จึงอาจเท่ากับเงินมากกว่าหนึ่งปีโดยไม่ต้องเสียภาษี
เมื่อคิดถึงเงินที่ทำได้จากชุดข้อมูลนี้ นั่นเป็นการลงทุนเล็กน้อย
รายการที่รั่วไหลมีชื่อ, ที่อยู่, เบอร์โทรศัพท์, อีเมล, เลขท้าย 4 หลักของ Social Security Number ที่ถูกปิดบางส่วน, เลขบัญชีธนาคารที่ถูกปิดบางส่วนและตัวระบุธนาคารบางอย่าง, ภาพบัตรประจำตัวที่ออกโดยรัฐอย่างใบขับขี่และพาสปอร์ต, สแนปช็อตยอดคงเหลือและประวัติธุรกรรม, รวมถึงเอกสารบริษัทบางส่วน เอกสารฝึกอบรม และการสื่อสารที่เจ้าหน้าที่ซัพพอร์ตมองเห็นได้
นี่คือข้อมูลในฝันของผู้โจมตีทุกคน และแค่อีเมลกับยอดคงเหลือในบัญชีก็เป็นฝันร้ายแล้ว
แทนที่จะขู่บริษัท ก็สามารถขู่ผู้ใช้แต่ละคนโดยตรงได้ เช่น “ส่ง BTC มา 50% แล้วฉันจะไม่เผยข้อมูลทั้งหมดของคุณบนอินเทอร์เน็ต”
ดูเหมือนจะกลายเป็นสถานการณ์คล้ายเหตุข้อมูลรั่วของ Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach
ในฝรั่งเศสตั้งแต่ต้นปีนี้มีกรณี ลักพาตัวและพยายามลักพาตัว ที่เกี่ยวข้องกับนักลงทุนคริปโตอย่างน้อย 5 คดีแล้ว
บริษัทอเมริกันเอาต์ซอร์สฝ่ายสนับสนุนลูกค้าไปฟิลิปปินส์โดยจ่ายชั่วโมงละ 3–6 ดอลลาร์
ผู้ให้บริการเหล่านี้มีอัตราการลาออกสูงมาก และบางบริษัทพนักงานมีอายุงานเฉลี่ยราว 6 เดือน
ไม่มีเหตุผลให้ภักดีเลย
ตรงกันข้าม กลับกำลังไปอีกทาง
แรงกระแทกแบบนี้น่าจะทำให้สหรัฐฯ ตกอยู่ในความโกลาหลในอีกไม่นาน
ถ้าเป็นในสหรัฐฯ ราคาคงสูงกว่านี้มาก แต่ผลประโยชน์จากการโจมตีก็น่าจะถูกปรับให้เข้ากับระดับที่ใหญ่กว่านั้นเช่นกัน
ไม่ว่าจะมอง Coinbase อย่างไร การรับมือครั้งนี้ดูค่อนข้างดี
คือไม่จ่ายค่าไถ่ 20 ล้านดอลลาร์ แต่แทนที่จะทำอย่างนั้นจะตั้ง เงินรางวัล 20 ล้านดอลลาร์ สำหรับข้อมูลที่นำไปสู่การจับกุมและตัดสินลงโทษผู้รับผิดชอบ
หัวข้อคือ “Protecting Our Customers - Standing Up to Extortionists” แต่ปัญหาคือเขียนประกาศในลักษณะที่ทำให้คนชื่นชม ทั้งที่ควรจะพูดว่าขอโทษที่ทำข้อมูลส่วนบุคคลรั่ว
จุดนี้ทำให้โมโหมากจริง ๆ
ยิ่งไปกว่านั้น หัวข้ออีเมลที่ผมได้รับคือ “important notice” และข้อเท็จจริงว่าบัญชีส่วนตัวได้รับผลกระทบอยู่ในประโยคที่สามของย่อหน้ายืดยาว
ไม่มีอะไรโอเคเลย และบริษัทนี้ไม่ได้แสดงท่าทีว่าจัดการเรื่องนี้อย่างจริงจัง
ในช่วงเวลาแบบนี้ก็เป็นโอกาสดีที่จะหลุดจากภาษาบริษัทสักพักแล้วพูดประมาณว่า “ไสหัวไป ไอ้พวกแฮ็กเกอร์!”
แม้แต่คนที่อยู่ใน Bible Belt ก็ยอมรับคำสบถที่ถูกจังหวะได้
ถ้าจะตั้งระบบเงินรางวัลด้วยก็ยิ่งดี แต่ถ้าเป็นข้อมูลของผม ผมสนใจให้ Coinbase ลดขอบเขตการรั่วไหลมากกว่าการเล่นเกมตั้งค่าหัวเพื่อตอบโต้
เป็นเรื่องโชคร้ายจริง ๆ ที่ Coinbase ต้องมีข้อมูลแบบนี้ตั้งแต่แรกเพราะ กฎระเบียบ Know Your Customer
เราควรสร้างบรรทัดฐานทางสังคมที่เข้มแข็งว่าไม่ควรแชร์ข้อมูลระบุตัวบุคคลโดยไม่มีเหตุผลอันสมควร
นี่ไม่ใช่แค่ความเสี่ยงต่อการโจรกรรมส่วนบุคคล แต่ยังเป็นความเสี่ยงต่อความมั่นคงของชาติด้วย
Coinbase ไม่ได้จ่ายเงินสมทบเข้าบัญชี Social Security ของผม จึงไม่ควรมีหมายเลข Social Security ของผม และไม่ได้มาที่บ้านผม จึงไม่ควรมีที่อยู่ของผม
ในอดีต กฎระเบียบ Know Your Customer มีแพร่หลายในประเทศค่ายคอมมิวนิสต์ แต่ในประเทศประชาธิปไตยส่วนใหญ่แทบจินตนาการไม่ออกก่อนเหตุการณ์ 9/11
9/11 มอบโอกาสทองให้หน่วยข่าวกรองผลักรายการที่ต้องการเข้าไปเป็นกฎหมาย และน่าเสียดายที่สิ่งนี้ช่วยหน่วยข่าวกรองต่างประเทศไม่น้อยไปกว่าหน่วยข่าวกรองในประเทศ หรืออาจมากกว่าด้วยซ้ำ
ดูได้ที่นี่ว่าแต่ละประเทศเริ่มใช้เมื่อใด: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...