Egy kutató leleplezi a Coinbase késlekedését
Jonathan Clark biztonsági kutató bombaként robbantotta a hírt: a Coinbase már januárban tudott arról, hogy csalók súlyos támadást intéztek az ügyféladatok ellen, mégis csak négy hónappal később hozták nyilvánosságra az ügyet. Clarkot közvetlenül is megpróbálták átverni, így egészen pontosan tudja, miről van szó.
Másként fogalmazva: a támadók 2023 decemberében már hozzáfértek 69 461 felhasználó érzékeny adataihoz úgy, hogy megvesztegették a Coinbase ügyfélszolgálati munkatársait. Ellopták a teljes névsort, születési dátumokat, lakcímeket, telefonszámokat, e-mail-címeket, társadalombiztosítási számának utolsó négy karakterét, útlevélszámokat, személyi igazolvány- és jogosítványadatait, tranzakciós előzményeket és még az ügyfélfiókok egyenlegeit is.
Az átverési kísérlet menete
Clark maga is kapott január 7-én egy olyan e-mailt, amely 2,93 ETH (mintegy 3,5 millió forint) kifizetésről szólt, majd nem sokkal később egy magát Coinbase-csalásmegelőzési szakembernek kiadó nő telefonált neki.
Érdemes kiemelni, hogy a nő pontosan tudta Clark társadalombiztosítási számának végét, ismerte a Bitcoin-egyenlegét, és olyan személyes információk birtokában volt, amelyeket elvileg csak a Coinbase láthat. A hívó azonban nem tudta hitelesíteni magát: mindössze Clark adatait sorolta fel, miközben azt állította, hogy ellenőrizni szeretné a kilétét. Az e-mailt nem a Coinbase saját rendszeréből, hanem az Amazon Simple Email Service segítségével küldték ki, a telefon pedig Google Voice-ról érkezett.
Később a támadó arra próbálta rávenni Clarkot, hogy utalja át kriptovalutáját egy úgynevezett hidegtárcára (cold wallet), vagyis egy támadó által ellenőrzött címre – ez tipikus példa a kifinomult társadalmi manipulációra (social engineering).
A Coinbase reakciója és a hosszú hallgatás
A történtek után Clark még aznap részletes jelentést küldött a Coinbase-nek, és választ is kapott Brett Farmer, a megbízhatóságért felelős vezető részéről. Farmer megígérte, hogy kivizsgálják az ügyet, de ezt követően teljes csend következett. Clark négy alkalommal is próbált kapcsolatba lépni a céggel januárban, de sosem kapott választ.
Később, májusban a Coinbase végül elismerte az adatszivárgást az amerikai értékpapír-felügyelet felé, de ekkorra már négy hónapja lehetett tudni, hogy a támadók részletes ügyféladatokhoz jutottak.
Clark szerint végig hiányzott az a legalapvetőbb tájékoztatás is, hogy miként kerülhettek illetéktelenekhez ilyen mértékű személyes információk. Érdemes kiemelni, hogy a Coinbase azóta sem reagál a kérdésekre, sem Clarknak, sem az újságíróknak.
