เปิดเผยบันทึกที่ชี้ว่าการโจมตีดำเนินมาหลายเดือนก่อนที่ Coinbase จะรับรู้เหตุการณ์การละเมิด

 (jonathanclark.com)
1 คะแนน โดย GN⁺ 2025-11-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในเดือนมกราคม 2025 มีกรณีที่เผยให้เห็นว่าผู้โจมตีรู้ ข้อมูลส่วนบุคคลเชิงลึก เช่น หมายเลขประกันสังคมและยอดคงเหลือบิตคอยน์
  • ผู้เสียหายได้ส่ง รายงานเชิงเทคนิคโดยละเอียดให้ทีมความปลอดภัยของ Coinbase ทันที แต่ตลอด 4 เดือนหลังจากนั้นกลับไม่ได้รับคำตอบต่อคำถามสำคัญ
  • Coinbase เพิ่งยอมรับในเดือนพฤษภาคมว่าเกิด การรั่วไหลของข้อมูลภายในโดยพนักงานของผู้รับเหมาช่วงในต่างประเทศ (TaskUs) และประกาศว่ากระทบลูกค้าราว 1% และอาจสร้างความเสียหายสูงสุด 400 ล้านดอลลาร์
  • ผลการวิเคราะห์อีเมลเฮดเดอร์ยืนยันโครงสร้างการโจมตีหลายขั้นตอน เช่น การส่งปลอมผ่าน Amazon SES, การใช้หมายเลข Google Voice, และ การโจมตีแบบ SMS bomb
  • ช่องว่าง 4 เดือน ระหว่างเวลาที่มีการรายงานกับเวลาที่มีการเปิดเผย สะท้อนความล้มเหลวของการเฝ้าระวังด้านความปลอดภัยและการตอบสนอง พร้อมตอกย้ำ ปัญหาความน่าเชื่อถือของศูนย์ซื้อขายแบบรวมศูนย์

ภาพรวมของเหตุการณ์

  • เมื่อวันที่ 7 มกราคม 2025 ผู้เสียหายได้รับอีเมลหัวข้อ “2.93 ETH คำขอถอนเงิน” และได้รับโทรศัพท์ที่แอบอ้างเป็น Coinbase
    • ผู้โทรรู้ข้อมูลที่ไม่เปิดเผยต่อสาธารณะ เช่น หมายเลขประกันสังคม, ยอดคงเหลือบิตคอยน์, ข้อมูลใบขับขี่
    • ผู้เสียหายรายงานเรื่องนี้ต่อทีมความปลอดภัยของ Coinbase ทันที และส่งเอกสารวิเคราะห์โดยละเอียดซึ่งรวมถึง อีเมลเฮดเดอร์, ไฟล์บันทึกเสียง, และข้อมูลของผู้โจมตี
  • Brett Farmer หัวหน้าฝ่าย Trust & Safety ของ Coinbase ตอบว่าเป็น “รายงานที่แข็งแรงมาก” แต่หลังจากนั้นก็ไม่ตอบคำถามติดตามใด ๆ อีก

ความไม่สอดคล้องกับประกาศอย่างเป็นทางการของ Coinbase

  • Coinbase ประกาศว่าเพิ่งรับรู้การละเมิดเมื่อ 11 พฤษภาคม 2025 และเปิดเผยต่อสาธารณะในวันที่ 15 พฤษภาคม
    • ผู้โจมตีได้ ติดสินบนพนักงาน TaskUs ในอินเดีย เพื่อขโมยข้อมูลลูกค้า
    • ข้อมูลที่รั่วไหล: ชื่อ, ที่อยู่, หมายเลขโทรศัพท์, อีเมล, 4 หลักท้ายของหมายเลขประกันสังคม, ภาพบัตรประจำตัวที่ออกโดยรัฐ, ยอดคงเหลือในบัญชี, ประวัติการทำธุรกรรม
    • ขนาดความเสียหายประเมินว่าอยู่ที่ ลูกค้าน้อยกว่า 1% และมีมูลค่า 180 ล้านถึง 400 ล้านดอลลาร์
  • อย่างไรก็ตาม ผู้เสียหายได้แสดง หลักฐานว่าผู้โจมตีเข้าถึงข้อมูลภายในแล้ว ตั้งแต่เดือนมกราคม แต่ Coinbase กลับเพิกเฉย

รายละเอียดโครงสร้างการโจมตี

  • การปลอมอีเมล:
    • ที่อยู่ผู้ส่งคือ commerce@coinbase.com แต่เซิร์ฟเวอร์ที่ส่งจริงคือ Amazon SES(a32-86.smtp-out.amazonses.com)
    • ลายเซ็น DKIM ผ่านทั้งของ coinbase.com และ amazonses.com เพื่อสร้างความน่าเชื่อถือปลอม
    • มีการตั้งค่า Return-Path เป็น amazonses.com จึงมีความเป็นไปได้ของการปลอมแปลง
  • การหลอกลวงทางโทรศัพท์:
    • หมายเลขที่โทรมา 1-805-885-0141 ถูกยืนยันว่าเป็น หมายเลข Google Voice
    • ผู้โจมตีชักจูงให้ผู้เสียหาย “ย้ายสินทรัพย์ไปยังกระเป๋าเงินเย็น”
  • การโจมตีแบบ SMS bomb:
    • หลังจบการโทร ผู้เสียหายได้รับข้อความสแปมหลายร้อยข้อความ
    • วิเคราะห์ได้ว่าเป็น เทคนิคสร้างสัญญาณรบกวนเพื่อถามหารหัสยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) และการแจ้งเตือนด้านความปลอดภัย

ปัญหาของ Coinbase

  • การจ้างงานด้านงานที่ไวต่อความปลอดภัยออกสู่ภายนอก: พนักงานสัญญาจ้างในต่างประเทศสามารถเข้าถึง ข้อมูลยืนยันตัวตนลูกค้าและข้อมูลบัญชี ได้
  • ความล้มเหลวในการตรวจจับการละเมิด: แม้การโจมตีจะเริ่มตั้งแต่เดือนมกราคม แต่ ระบบเฝ้าระวังภายในกลับตรวจไม่พบจนถึงเดือนพฤษภาคม
  • เพิกเฉยต่อรายงานของผู้ใช้: ไม่ตอบรายงานเชิงเทคนิคและคำถามของผู้เสียหายนาน 4 เดือน
  • การเปิดเผยล่าช้า: แม้การโจมตีจะดำเนินมาหลายเดือนก่อนหน้า แต่ การรับรู้อย่างเป็นทางการเกิดขึ้นหลังมีการเรียกค่าไถ่เท่านั้น

คำแนะนำด้านความปลอดภัยสำหรับผู้ใช้

  • อย่าเชื่อหมายเลขโทรศัพท์หรือ caller ID, ต้องยืนยันซ้ำผ่านหมายเลขบนเว็บไซต์ทางการ
  • แม้ผู้โจมตีจะ รู้ข้อมูลส่วนบุคคล ก็ไม่ควรเชื่อถือ ต้องมีการยืนยันตัวตนสองทาง
  • ตรวจสอบ อีเมลเฮดเดอร์ เพื่อดูเซิร์ฟเวอร์ผู้ส่งและผลลัพธ์ของ SPF, DKIM
  • ตรวจสอบหมายเลขที่ให้โทรกลับ และยืนยันตัวตนผ่าน ขั้นตอนยืนยันในแอป
  • ปฏิเสธคำขอให้โอนย้ายเงินแบบกดดัน, และ ใช้ 2FA แบบแอปแทน SMS
  • หากพบกรณีโจมตี ให้ รายงานทันทีพร้อมข้อมูลเชิงเทคนิคทั้งหมด

ความหมายของช่องว่าง 4 เดือน

  • ผู้เสียหายส่ง หลักฐานการละเมิดและไฟล์บันทึกเสียง ตั้งแต่เดือนมกราคม แต่ Coinbase ไม่ตอบสนองจนถึงเดือนพฤษภาคม
  • ในช่วงเวลานี้ มีความเป็นไปได้ที่ลูกค้ารายอื่นจะเผชิญการโจมตีแบบเดียวกันด้วย
  • ความเงียบของ Coinbase สะท้อน ข้อบกพร่องเชิงโครงสร้างในระบบแจ้งเตือนความปลอดภัยและกระบวนการตอบสนองลูกค้า
  • เหตุการณ์นี้เป็นสัญลักษณ์ของ ปัญหาความน่าเชื่อถือและความรับผิดชอบของศูนย์ซื้อขายแบบรวมศูนย์ โดยผู้เสียหายสรุปว่า “ความเงียบนั้นยืดเยื้อนาน 120 วัน”

คำถามสำคัญที่ยังคงค้างอยู่กับ Coinbase

  • ช่วงเวลาจริงของการรั่วไหลของข้อมูล คือเมื่อใด
  • จำนวนผู้เสียหายระหว่างเดือนมกราคมถึงพฤษภาคม และรายละเอียดการจัดการรายงานคืออะไร
  • สาเหตุของความล้มเหลวในการควบคุมการเข้าถึงภายใน และ มีการตอบสนองต่อหน่วยงานกำกับดูแลหรือไม่
  • มาตรการปรับปรุงความปลอดภัย ที่ Coinbase อ้างถึงนั้น สามารถตรวจสอบประสิทธิผลได้จริงหรือไม่

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-11-17
ความคิดเห็นจาก Hacker News

  • ตามรายงานของ Reuters เมื่อวันที่ 2 มิถุนายน มีข้อมูลว่า Coinbase ทราบเรื่องข้อมูลลูกค้ารั่วไหลผ่านผู้รับจ้างภายนอกมาตั้งแต่เดือนมกราคม
    ตามเอกสารยื่นต่อ SEC เมื่อวันที่ 14 พฤษภาคม ระบุว่าเมื่อวันที่ 11 พฤษภาคม Coinbase ได้รับอีเมลจากผู้โจมตีที่ไม่ทราบตัวตน อ้างว่าได้ข้อมูลบัญชีลูกค้าและเอกสารภายในมาแล้ว (รวมถึงเอกสารที่เกี่ยวข้องกับระบบบริการลูกค้าและการจัดการบัญชี)

    • ฉันรายงานปัญหานี้ให้ Coinbase ตั้งแต่วันที่ 7 มกราคม จังหวะเวลาตรงกันพอดี จากท่าทีที่มั่นใจของพนักงานที่คุยด้วย ดูเหมือนฉันคงไม่ใช่คนแรกที่แจ้งเรื่องนี้
    • คำว่า “ผู้รับจ้างภายนอก” ดูจะกลายเป็นหัวข้อย่อยร่วมของข่าวเหตุการณ์แบบนี้ในอนาคต

  • เมื่อก่อนฉันเคยรับงานดูแลเครือข่ายให้ shared office ที่ Coinbase เช่าอยู่ แล้วพบว่ารหัสผ่านผู้ดูแลระบบเขียนไว้บนไวท์บอร์ดและมองเห็นได้จากทางเดิน
    ฉันอีเมลไปเตือนแล้วก็ส่งบิลค่าใช้จ่ายด้วย แต่ทางแก้ของพวกเขาคือเอากระดาษมาปิดทับรหัสผ่านไว้ ช่างเป็นยุคที่เหลือเชื่อจริงๆ

    • การส่งใบเรียกเก็บเงินสำหรับบริการที่ไม่มีใครขอ เป็นวิธีทำให้อีเมลของคุณไม่มีใครอ่านอย่างจริงจัง
    • เรื่องนี้ไม่น่าแปลกใจเลย วงการBitcoin และฟินเทคทั้งวงการชอบทำอะไรเสี่ยงเกินไป

  • ราวหนึ่งเดือนก่อน ฉันได้รับโทรศัพท์ในสหราชอาณาจักรจากคนที่อ้างว่าเป็น Coinbase
    พอฉันบอกว่าในบัญชีมี Bitcoin Cash แค่ประมาณ £5 เขาก็หมดความสนใจทันทีแล้วบอกว่าจะจัดการต่อทางอีเมล
    เขาถามว่ามี cold storage ไหม ฉันตอบไปว่ามีตู้เย็นอยู่บ้าน ซึ่งก็เป็นความจริง

    • ฮ่าๆ คราวหน้าถ้ามีสายสแปมโทรมา ฉันจะเอามุกนี้ไปใช้บ้าง

  • หัวข้อข่าวนี้พาดหัวล่อคลิก (clickbait) มากเกินไป
    ความจริงแล้วมันเป็นแค่บันทึกเสียงที่ผู้โจมตีแบบฟิชชิงพยายามล้วงข้อมูล ไม่ใช่หลักฐานว่า Coinbase รู้เรื่องข้อมูลรั่วแล้ว
    แค่เพราะผู้แจ้งเบาะแสส่งข้อมูลให้ Coinbase ไม่ได้แปลว่าพวกเขารับรู้การ breach อยู่ก่อนแล้ว

    • ฉันส่งทั้งบันทึกเสียงการโทรและอีเมลให้ Coinbase แล้วได้รับคำตอบกลับมาว่า “รายงานนี้มีน้ำหนักมากและควรค่าแก่การสืบสวน ขณะนี้เรากำลังตรวจสอบมิจฉาชีพอยู่”
    • เหมือนคุณจะยังอ่านบทความไม่ครบ สิ่งที่จำเป็นมีอยู่ในบทความหมดแล้ว

  • เป็นเรื่องที่น่าสนใจ แต่ฉันติดใจมากที่บทความนี้เขียนด้วย AI จนอ่านแล้วรู้สึกไม่ลื่น

    • อยากถามว่ามั่นใจได้อย่างไรว่าเป็นแบบนั้น ถึง LLM จะเลียนแบบน้ำเสียงมนุษย์ได้ แต่สุดท้ายรูปแบบการพูดนั้นก็มาจากสไตล์ของใครสักคนอยู่ดี
      รูปแบบภาษาของ LLM ในตอนนี้อาจเป็นผลลัพธ์จากการคัดลอกนิสัยการเขียนของใครบางคนก็ได้
    • ไม่รู้ว่าเขียนด้วย AI หรือเปล่า แต่พูดเรื่องเดิมซ้ำไปซ้ำมา ต่อให้ตัดความยาวลงเหลือ 1/3 ใจความก็ยังเหมือนเดิม
    • ฉันก็ขัดใจกับ**“โทนแบบ LinkedIn”** ที่เป็นเอกลักษณ์ของ AI เช่นกัน โครงสร้างประโยคดีขึ้นก็จริง แต่ยังเต็มไปด้วยการสร้างดราม่าเกินจริง ลิสต์ที่ไม่จำเป็น และหัวข้อประดิษฐ์แบบ “The Call That Changed Everything”
      โดยเฉพาะคำอย่าง “The Timeline That Doesn’t Make Sense” ที่ไม่ตรงกับเนื้อหาจริง
      ถ้าบริษัทใหญ่กำลังสอบสวนเรื่องซับซ้อน ก็เป็นเรื่องปกติอยู่แล้วที่จะใช้เวลาก่อนประกาศผล แต่ AI ไม่คำนึงถึงบริบทและรีบสรุปว่า “แปลก”
      การตัดสินแบบไร้บริบทแบบนี้ดูจะเป็นปัญหาใหญ่ที่สุดของงานเขียนจาก AI
    • ถ้าจะอ้างแบบนั้นก็ควรมีหลักฐานอ้างอิงด้วย

  • เรื่องนี้นับเป็นหลักฐานได้ยาก
    ผู้เขียนแค่ได้รับสายฟิชชิงแล้วนำไปแจ้ง Coinbase เท่านั้น และ Coinbase ก็ได้รับรายงานฟิชชิงแบบนี้วันละหลายร้อยครั้ง
    ข้อมูลที่ผู้โจมตีรู้ อาจได้มาจากข้อมูลรั่วไหลที่อื่นก็ได้ หรืออาจเป็นไปได้มากว่าลูกค้าเผลอเปิดเผยข้อมูลบัญชีเอง

    • ตอนแรกฉันคิดว่าพวกเขาอาจตามรอยธุรกรรมบนบล็อกเชนแล้วเชื่อมโยงกับชื่อฉันได้
      แต่ผู้โจมตีกลับรู้ทั้งยอดคงเหลือ ETH และ BTC รวมถึงวันที่เปิดบัญชีของฉัน
      วันที่เปิดบัญชีอาจตามได้ก็จริง แต่การรู้ยอดของทั้งสองเหรียญพร้อมกันดูไม่น่าเป็นไปได้เลยถ้าไม่ใช่ข้อมูลภายในของ Coinbase

  • ไทม์ไลน์นี้น่าสนใจ แต่หลักฐานชิ้นเดียวนี้ยังไม่พอจะสรุปว่า Coinbase รับรู้เรื่องข้อมูลรั่วไหลแล้ว
    มัลแวร์แบบ screen-scraping พบได้บ่อย และในมุมของนักวิเคราะห์ก็มักเป็นธรรมชาติที่จะมองว่าเป็นการติดเชื้อฝั่งลูกค้า
    ในความเป็นจริงก็มักมีกรณีที่ลูกค้าถูกแฮ็กแล้วโทษบริษัทอยู่บ่อยๆ

    • แต่พอฉันส่งทั้งบันทึกเสียงการโทรและ email header ไปให้ หัวหน้าฝ่ายTrust & Safety ของ Coinbase ก็ตอบกลับมาเองว่า “รายงานนี้มีน้ำหนักมาก เรากำลังตรวจสอบสแกมเมอร์อยู่”

  • ฉันเองก็พบสัญญาณการแฮ็ก Coinbase ในช่วงเวลาใกล้กัน
    แม้แต่Discord API key ก็รั่ว และเพิ่งถูกรีเซ็ตช่วงราวเดือนเมษายนถึงพฤษภาคม
    นี่ดูเหมือนจะหมายความว่าแม้แต่ระบบกลางสำหรับจัดการsecrets managerก็ถูกเจาะด้วย

  • องค์กรของเราก็ใช้ Coinbase อยู่เช่นกัน และโดนพยายามโจมตีเมื่อต้นเดือนกุมภาพันธ์ 2025
    โชคดีที่ผู้ดูแลบัญชีของเรามีความระแวงในทางที่ดี จึงตรวจสอบกับช่องทางติดต่อทางการของอีกฝ่ายโดยตรงและหลีกเลี่ยงความเสียหายได้