เปิดเผยบันทึกที่ชี้ว่าการโจมตีดำเนินมาหลายเดือนก่อนที่ Coinbase จะรับรู้เหตุการณ์การละเมิด

 (jonathanclark.com)
1 คะแนน โดย GN⁺ 2025-11-17 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp
  • ในเดือนมกราคม 2025 มีกรณีที่เผยให้เห็นว่าผู้โจมตีรู้ ข้อมูลส่วนบุคคลเชิงลึก เช่น หมายเลขประกันสังคมและยอดคงเหลือบิตคอยน์
  • ผู้เสียหายได้ส่ง รายงานเชิงเทคนิคโดยละเอียดให้ทีมความปลอดภัยของ Coinbase ทันที แต่ตลอด 4 เดือนหลังจากนั้นกลับไม่ได้รับคำตอบต่อคำถามสำคัญ
  • Coinbase เพิ่งยอมรับในเดือนพฤษภาคมว่าเกิด การรั่วไหลของข้อมูลภายในโดยพนักงานของผู้รับเหมาช่วงในต่างประเทศ (TaskUs) และประกาศว่ากระทบลูกค้าราว 1% และอาจสร้างความเสียหายสูงสุด 400 ล้านดอลลาร์
  • ผลการวิเคราะห์อีเมลเฮดเดอร์ยืนยันโครงสร้างการโจมตีหลายขั้นตอน เช่น การส่งปลอมผ่าน Amazon SES, การใช้หมายเลข Google Voice, และ การโจมตีแบบ SMS bomb
  • ช่องว่าง 4 เดือน ระหว่างเวลาที่มีการรายงานกับเวลาที่มีการเปิดเผย สะท้อนความล้มเหลวของการเฝ้าระวังด้านความปลอดภัยและการตอบสนอง พร้อมตอกย้ำ ปัญหาความน่าเชื่อถือของศูนย์ซื้อขายแบบรวมศูนย์

ภาพรวมของเหตุการณ์

  • เมื่อวันที่ 7 มกราคม 2025 ผู้เสียหายได้รับอีเมลหัวข้อ “2.93 ETH คำขอถอนเงิน” และได้รับโทรศัพท์ที่แอบอ้างเป็น Coinbase
    • ผู้โทรรู้ข้อมูลที่ไม่เปิดเผยต่อสาธารณะ เช่น หมายเลขประกันสังคม, ยอดคงเหลือบิตคอยน์, ข้อมูลใบขับขี่
    • ผู้เสียหายรายงานเรื่องนี้ต่อทีมความปลอดภัยของ Coinbase ทันที และส่งเอกสารวิเคราะห์โดยละเอียดซึ่งรวมถึง อีเมลเฮดเดอร์, ไฟล์บันทึกเสียง, และข้อมูลของผู้โจมตี
  • Brett Farmer หัวหน้าฝ่าย Trust & Safety ของ Coinbase ตอบว่าเป็น “รายงานที่แข็งแรงมาก” แต่หลังจากนั้นก็ไม่ตอบคำถามติดตามใด ๆ อีก

ความไม่สอดคล้องกับประกาศอย่างเป็นทางการของ Coinbase

  • Coinbase ประกาศว่าเพิ่งรับรู้การละเมิดเมื่อ 11 พฤษภาคม 2025 และเปิดเผยต่อสาธารณะในวันที่ 15 พฤษภาคม
    • ผู้โจมตีได้ ติดสินบนพนักงาน TaskUs ในอินเดีย เพื่อขโมยข้อมูลลูกค้า
    • ข้อมูลที่รั่วไหล: ชื่อ, ที่อยู่, หมายเลขโทรศัพท์, อีเมล, 4 หลักท้ายของหมายเลขประกันสังคม, ภาพบัตรประจำตัวที่ออกโดยรัฐ, ยอดคงเหลือในบัญชี, ประวัติการทำธุรกรรม
    • ขนาดความเสียหายประเมินว่าอยู่ที่ ลูกค้าน้อยกว่า 1% และมีมูลค่า 180 ล้านถึง 400 ล้านดอลลาร์
  • อย่างไรก็ตาม ผู้เสียหายได้แสดง หลักฐานว่าผู้โจมตีเข้าถึงข้อมูลภายในแล้ว ตั้งแต่เดือนมกราคม แต่ Coinbase กลับเพิกเฉย

รายละเอียดโครงสร้างการโจมตี

  • การปลอมอีเมล:
    • ที่อยู่ผู้ส่งคือ commerce@coinbase.com แต่เซิร์ฟเวอร์ที่ส่งจริงคือ Amazon SES(a32-86.smtp-out.amazonses.com)
    • ลายเซ็น DKIM ผ่านทั้งของ coinbase.com และ amazonses.com เพื่อสร้างความน่าเชื่อถือปลอม
    • มีการตั้งค่า Return-Path เป็น amazonses.com จึงมีความเป็นไปได้ของการปลอมแปลง
  • การหลอกลวงทางโทรศัพท์:
    • หมายเลขที่โทรมา 1-805-885-0141 ถูกยืนยันว่าเป็น หมายเลข Google Voice
    • ผู้โจมตีชักจูงให้ผู้เสียหาย “ย้ายสินทรัพย์ไปยังกระเป๋าเงินเย็น”
  • การโจมตีแบบ SMS bomb:
    • หลังจบการโทร ผู้เสียหายได้รับข้อความสแปมหลายร้อยข้อความ
    • วิเคราะห์ได้ว่าเป็น เทคนิคสร้างสัญญาณรบกวนเพื่อถามหารหัสยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) และการแจ้งเตือนด้านความปลอดภัย

ปัญหาของ Coinbase

  • การจ้างงานด้านงานที่ไวต่อความปลอดภัยออกสู่ภายนอก: พนักงานสัญญาจ้างในต่างประเทศสามารถเข้าถึง ข้อมูลยืนยันตัวตนลูกค้าและข้อมูลบัญชี ได้
  • ความล้มเหลวในการตรวจจับการละเมิด: แม้การโจมตีจะเริ่มตั้งแต่เดือนมกราคม แต่ ระบบเฝ้าระวังภายในกลับตรวจไม่พบจนถึงเดือนพฤษภาคม
  • เพิกเฉยต่อรายงานของผู้ใช้: ไม่ตอบรายงานเชิงเทคนิคและคำถามของผู้เสียหายนาน 4 เดือน
  • การเปิดเผยล่าช้า: แม้การโจมตีจะดำเนินมาหลายเดือนก่อนหน้า แต่ การรับรู้อย่างเป็นทางการเกิดขึ้นหลังมีการเรียกค่าไถ่เท่านั้น

คำแนะนำด้านความปลอดภัยสำหรับผู้ใช้

  • อย่าเชื่อหมายเลขโทรศัพท์หรือ caller ID, ต้องยืนยันซ้ำผ่านหมายเลขบนเว็บไซต์ทางการ
  • แม้ผู้โจมตีจะ รู้ข้อมูลส่วนบุคคล ก็ไม่ควรเชื่อถือ ต้องมีการยืนยันตัวตนสองทาง
  • ตรวจสอบ อีเมลเฮดเดอร์ เพื่อดูเซิร์ฟเวอร์ผู้ส่งและผลลัพธ์ของ SPF, DKIM
  • ตรวจสอบหมายเลขที่ให้โทรกลับ และยืนยันตัวตนผ่าน ขั้นตอนยืนยันในแอป
  • ปฏิเสธคำขอให้โอนย้ายเงินแบบกดดัน, และ ใช้ 2FA แบบแอปแทน SMS
  • หากพบกรณีโจมตี ให้ รายงานทันทีพร้อมข้อมูลเชิงเทคนิคทั้งหมด

ความหมายของช่องว่าง 4 เดือน

  • ผู้เสียหายส่ง หลักฐานการละเมิดและไฟล์บันทึกเสียง ตั้งแต่เดือนมกราคม แต่ Coinbase ไม่ตอบสนองจนถึงเดือนพฤษภาคม
  • ในช่วงเวลานี้ มีความเป็นไปได้ที่ลูกค้ารายอื่นจะเผชิญการโจมตีแบบเดียวกันด้วย
  • ความเงียบของ Coinbase สะท้อน ข้อบกพร่องเชิงโครงสร้างในระบบแจ้งเตือนความปลอดภัยและกระบวนการตอบสนองลูกค้า
  • เหตุการณ์นี้เป็นสัญลักษณ์ของ ปัญหาความน่าเชื่อถือและความรับผิดชอบของศูนย์ซื้อขายแบบรวมศูนย์ โดยผู้เสียหายสรุปว่า “ความเงียบนั้นยืดเยื้อนาน 120 วัน”

คำถามสำคัญที่ยังคงค้างอยู่กับ Coinbase

  • ช่วงเวลาจริงของการรั่วไหลของข้อมูล คือเมื่อใด
  • จำนวนผู้เสียหายระหว่างเดือนมกราคมถึงพฤษภาคม และรายละเอียดการจัดการรายงานคืออะไร
  • สาเหตุของความล้มเหลวในการควบคุมการเข้าถึงภายใน และ มีการตอบสนองต่อหน่วยงานกำกับดูแลหรือไม่
  • มาตรการปรับปรุงความปลอดภัย ที่ Coinbase อ้างถึงนั้น สามารถตรวจสอบประสิทธิผลได้จริงหรือไม่

บทความที่เกี่ยวข้อง

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น