Coinbase: Peretas Menyuap Karyawan, Mencuri Data Pelanggan, lalu Menuntut Tebusan $20 Juta

 (cnbc.com)
1 poin oleh GN⁺ 2025-05-16 | 1 komentar | Bagikan ke WhatsApp
  • Coinbase mengalami insiden penyuapan karyawan dan kebocoran data pelanggan oleh kelompok peretas
  • Para peretas mencuri informasi pelanggan lalu menuntut tebusan sebesar $20 juta
  • Ancaman keamanan yang belum pernah terjadi sebelumnya berupa kolaborasi karyawan internal dengan peretas telah terkonfirmasi
  • Insiden ini menjadi momentum untuk kembali menyoroti pentingnya manajemen risiko orang dalam di industri bursa kripto dan fintech
  • Tanggapan darurat dan langkah perlindungan pelanggan sedang dilakukan untuk mencegah meluasnya dampak

Bacaan terkait

1 komentar

 
GN⁺ 2025-05-16
Opini Hacker News

  • Saya belakangan ini terus menerima panggilan spear phishing yang sangat canggih. Mereka memakai pola klasik dengan mengklaim saya harus memverifikasi transaksi mencurigakan. Bahasa Inggris Amerika mereka fasih, suaranya sangat ramah, dan mereka bahkan tahu saldo akun saya. Sejak panggilan pertama saya langsung sadar ini penipuan, dan berkat fitur penyaringan panggilan Google saya aman setelahnya. Rasanya ingin meneruskan panggilan seperti ini ke Kitboga. Awalnya mereka mencoba menipu pelanggan Coinbase, lalu akhirnya berusaha memeras Coinbase sendiri

    • Jika Anda pernah punya aset dalam jumlah lumayan di Coinbase, spear phishing justru kekhawatiran paling kecil. Coinbase membocorkan bukan hanya nama dan alamat, tetapi juga saldo, riwayat transaksi, bahkan gambar identitas. Banyak orang sampai diserang di jalan atau di rumah, bahkan keluarganya diculik. Di bawah 10 ribu dolar pun sudah dianggap aset yang "cukup besar". Selama ini pertahanan terbaik adalah menjaga kerahasiaan, tetapi berkat Coinbase, sekarang itu pun hilang. Orang jahat bisa menargetkan siapa pun yang pernah menyimpan jumlah besar di Coinbase atau pernah mencairkannya, lalu dengan mudah mencari info keluarga atau menjadikannya sasaran pemerasan. Bahkan jika Coinbase wajib mengganti seluruh kerugian akibat ini, skalanya bisa sampai membuat perusahaan bangkrut

    • Saya baru pindah dari Pixel ke iPhone, dan kaget karena panggilan spam ternyata sangat banyak. Saya penasaran bagaimana cara menanganinya di iPhone

    • Saya penasaran sudah berapa lama panggilan spear phishing meningkat. Saya tidak percaya klaim Coinbase bahwa serangan peretasan ini adalah masalah yang sistemik

    • Saya terus menerima SMS kode verifikasi login Coinbase padahal tidak ada upaya dari saya. Hal yang sama juga terjadi pada akun Microsoft saya. Dugaan saya, seseorang sedang menguji apakah email saya bisa dipakai untuk login

    • Saya penasaran nomor panggilannya berasal dari mana. Saya sering menerima banyak panggilan phishing, tetapi saya tidak pernah mengangkat nomor tak dikenal. Berkat Google Call Screen mereka selalu menutup telepon setiap kali. Jadi saya yakin itu penipuan

    • Berkat AI, penipuan jadi makin canggih. Salah eja pun banyak yang menghilang. Baru-baru ini saya melihat email phishing karena penasaran, lalu menemukan bagian dengan karakter Unicode aneh yang tampaknya hasil terjemahan yang keliru. Memang belum sempurna, tetapi makin lama makin licik

    • Pengalaman saya, minggu lalu saja saya menerimanya tiga atau empat kali

    • Saya jadi bertanya-tanya apakah aksen yang sempurna itu berkat machine learning

    • Fakta bahwa mereka berbicara bahasa Inggris dengan sempurna dan bahkan tahu saldo akun membuat saya membayangkan mereka mungkin mantan pegawai Coinbase

    • Saya pahit menyadari hal seperti ini tidak akan pernah berhenti, dan sekarang unsur kriminal seolah sudah menjadi kapitalisme yang sah

  • Yang saya anggap bermasalah adalah data yang bocor tampaknya sama dengan informasi yang dipakai untuk pemulihan akun. Artinya, jika Anda kehilangan akses ke akun karena kesalahan sendiri atau karena masalah di pihak Coinbase, proses pemulihan tidak lagi sederhana. Ada kemungkinan peretas mencoba pemulihan akun memakai data bocor itu. Solusinya adalah perlu adanya kantor fisik di dunia nyata untuk mendukung pemulihan akun. Jika dilakukan langsung di tempat, pelaku kriminal bisa ditangkap dan dituntut. Ini juga menjadi hambatan besar bagi penjahat luar negeri. Solusi paling pasti adalah autentikasi dua faktor berbasis perangkat keras seperti Yubikey

    • Industri kripto tampaknya sedang kembali belajar dengan cepat mengapa sistem keuangan tradisional itu ada. Kantor fisik yang Anda maksud itu adalah konsep yang oleh banyak pendukung kripto disebut sebagai "bank"

    • Jika ada catatan deposit dan penarikan langsung dari wallet milik sendiri, cara mengirim pesan yang ditandatangani dengan kunci dari alamat yang terdaftar di Coinbase juga bisa menjadi sarana pemulihan yang tepercaya. Inti kripto adalah bentuk lain dari PKI

    • Kalau ada kantor offline, akan muncul kenyataan bahwa orang bisa kehilangan akses akun bukan karena kesalahan pengguna, melainkan karena sistem terlalu sensitif mendeteksi risiko, lalu harus pergi jauh ke kota lain. Kalau begitu, orang yang terkunci dari akunnya akan sangat tidak puas

    • Jika seseorang cukup paham teknis sampai memakai Yubikey, saya rasa mereka akan sekalian membeli hardware wallet dan menyimpan sendiri asetnya

    • Jika Coinbase butuh kantor offline, itu artinya ya cuma bank biasa

    • Sekalipun autentikasi dua faktor perangkat keras (Yubikey) adalah satu-satunya solusi, kalau hilang Anda akan kembali ke tahap pemulihan akun

    • Pertanyaan balik: apakah pernyataan bahwa Coinbase membutuhkan kantor offline itu sebenarnya satire?

  • Saya menghubungi dukungan pelanggan Coinbase untuk menanyakan apakah saya terdampak peretasan ini. Setelah melewati chatbot AI dan tersambung ke agen sungguhan, mereka ternyata bahkan tidak tahu soal peretasan tersebut. Saya seolah menjadi orang pertama yang memberi tahu mereka

    • Email dikirim ke akun yang terdampak. Saya termasuk pengguna yang terdampak

    • Bisa saja pelanggan pertama itu kebetulan bertemu agen yang malas

    • Pengalaman saya, agen yang menangani hanya membacakan skrip manual seperti, "Saya tidak tahu, Anda orang pertama yang memberi tahu saya soal ini"

  • Terlihat ada upaya Coinbase untuk menjaga jarak dari "pegawai dukungan nakal" di luar negeri. Kalau mereka memang pegawai atau kontraktor Coinbase, berarti secara praktis perusahaan sendiri yang menjual data ke peretas. Mengganti rugi pelanggan yang kehilangan uang akibat penipuan memang masuk akal. Tetapi kalau orang sampai harus pindah rumah, mengganti bank atau email, atau bahkan menyewa petugas keamanan, saya penasaran apakah biaya-biaya seperti itu juga bisa ditagihkan ke perusahaan

    • Jika pegawai melanggar kebijakan perusahaan atau secara ilegal menyedot data rahasia lalu menyerahkannya ke peretas, rasanya sulit mengatakan bahwa "perusahaan kami yang menjual data itu"

  • Saya membagikan isi yang disebut di blog resmi Coinbase: pelanggan yang tertipu lalu mentransfer dana akan diberi kompensasi, dan pelanggan yang informasinya terekspos sudah dikirimi email pada 15 Mei pukul 7:20 pagi waktu Timur AS

    • Pemilihan email no-reply cukup menarik. Coinbase mengunggulkan sentralisasi dan layanan pelanggan, tetapi kasus ini menunjukkan bahwa hal itu juga memungkinkan serangan social engineering

    • Saya penasaran mengapa akun Coinbase Prime tidak termasuk dalam cakupan kebocoran. Apakah akun Prime punya perlindungan khusus, atau justru penipu kurang tertarik pada akun semacam itu

  • Karena hukum KYC (know your customer) pemerintah, Coinbase berada dalam situasi harus menyimpan jauh lebih banyak informasi sensitif daripada yang diperlukan untuk verifikasi identitas. Fakta bahwa foto identitas sampai ikut dicuri adalah kesalahan pemerintah, dan itu menambah masalah karena ada penjahat dan pegawai internal yang entah akan melakukan apa dengan informasi ini

    • KYC punya alasan yang cukup kuat. Masalahnya bukan regulasi pemerintah, melainkan perusahaan swasta yang mengelola data pelanggan secara ceroboh. Makin ceroboh pengelolaannya, makin murah biayanya, dan karena itu bukan data mereka sendiri, motivasi untuk melindunginya juga kurang. Kalau tidak dipaksa, mereka memang tidak akan menjaga dengan baik

    • Mengatakan bahwa KYC mengharuskan mereka terus menyimpan informasi sensitif itu hanyalah alasan. Perlu jujur menjelaskan mengapa semua agen dukungan bisa mengakses dokumen identitas secara permanen

  • Saya merasa respons Coinbase cukup bagus: mereka sama sekali tidak membayar tuntutan tebusan 20 juta dolar, dan sebagai gantinya menyiapkan dana hadiah 20 juta dolar untuk informasi yang mengarah pada penangkapan pelaku

    • Ada yang menyoroti bahwa ini adalah trik yang sama seperti di film tahun 1996, 'Ransom'

    • Dari sudut pandang pelanggan, yang lebih penting adalah membayar tebusan untuk membatasi penyebaran data. Menyiapkan hadiah terpisah memang bagus, tetapi perlindungan data yang mendesak tetap lebih penting

    • Saya suka cara respons seperti ini. Dalam situasi seperti ini, menurut saya banyak orang akan menyambut jika perusahaan menyampaikan pesan yang lebih keras alih-alih bahasa korporat yang kaku, semacam “Dasar peretas brengsek, mampus kalian!”

  • Mereka hanya menyebut merekrut "pegawai dukungan luar negeri yang nakal". Tidak dijelaskan negara mana dan mengapa sejak awal mereka direkrut. Agak aneh bahwa perusahaan yang sudah berpendapatan miliaran dolar bahkan tidak bisa merekrut dan memverifikasi orang dengan layak

  • Soal penerapan "dana hadiah 20 juta dolar", saya biasanya lebih sering mengkritik industri kripto, tetapi untuk kali ini saya memuji. Saya sungguh berharap hadiahnya benar-benar dibayarkan

    • Candaan bahwa hadiah itu mungkin saja dibayar dalam kripto

  • Rasanya seperti deja vu. Jika Coinbase baru menyadari ada yang aneh saat peretas mulai meminta uang, saya jadi curiga jangan-jangan mereka bahkan tidak menyimpan log akses pegawai. Saya penasaran apakah ada cara minimum untuk pelacakan tanggung jawab secara internal. Akan bagus kalau mereka punya sistem pelacakan akses sederhana dan bisa segera memblokir anomali atau pegawai jahat. Saya juga ingin melihat seperti apa paket pesangon eksekutif setelah insiden ini

    • Kalau melihat blog resminya, pegawai dukungan pelanggan memang sudah memiliki akses ke data sensitif dan menyerahkannya ke penyerang dengan imbalan uang. Bukan berarti peretas mengakses akun secara langsung

    • Saya pernah mengalami harus menambahkan beberapa lapis pengamanan ke panel admin internal ketika mulai merekrut pegawai di luar AS, seperti pencatatan log, pemantauan, persetujuan admin, dan sebagainya. Industri kartu kredit punya standar perlindungan data yang sangat ketat berkat PCI-DSS. Industri kripto tampaknya punya kesadaran keamanan yang relatif lebih rendah karena minimnya regulasi seperti ini

    • Tindakan minimum yang dibutuhkan adalah pencatatan log dan audit setelah kejadian. Juga tidak berlebihan jika staf customer service diminta meminta informasi verifikasi yang tidak mudah diketahui pelanggan lain. Jika pelanggan benar-benar terkunci dari akun, kasus itu bisa ditangani oleh sangat sedikit staf yang diawasi lebih ketat. Statistik bahwa kurang dari 1% pengguna bulanan diakses pun menurut saya tetap angka yang cukup besar