Coinbase: Peretas Menyuap Karyawan, Mencuri Data Pelanggan, lalu Menuntut Tebusan $20 Juta
(cnbc.com)- Coinbase mengungkap insiden kebocoran data pelanggan setelah personel dukungan luar negeri disuap, dan penyerang berupaya memanfaatkan data itu untuk serangan rekayasa sosial; biaya penanganannya diperkirakan bisa mencapai $400 juta
- Penyerang mengklaim telah memperoleh sebagian informasi akun pelanggan dan dokumen internal pada 11 Mei, lalu menuntut $20 juta agar data tersebut tidak dipublikasikan
- Data yang bocor mencakup nama, informasi kontak, informasi rekening bank yang disamarkan, gambar identitas, dan saldo akun, tetapi kata sandi, private key, dan dana tidak terekspos, dan akun Coinbase Prime juga tidak terdampak
- Coinbase menolak membayar tebusan dan sedang bekerja sama dengan penegak hukum, memecat karyawan terkait, memperingatkan pelanggan yang mungkin terdampak, lalu memperkuat perlindungan pemantauan penipuan
- Perusahaan menawarkan hadiah $20 juta untuk informasi yang mengarah pada penangkapan dan vonis bersalah pelaku, serta menyatakan akan mengganti rugi pelanggan yang mengirim dana karena tertipu oleh penyerang
Pencurian data akibat penyuapan terhadap personel dukungan luar negeri
- Menurut Coinbase, pelaku kejahatan siber menyuap agen dukungan di luar negeri untuk mencuri data pelanggan, dan berusaha menggunakan data tersebut dalam serangan rekayasa sosial
- Biaya penanganan insiden ini bisa mencapai $400 juta
- Saham Coinbase turun lebih dari 6% dalam perdagangan pagi
Tuntutan $20 juta dan respons Coinbase
- Coinbase menerima email pada 11 Mei yang mengklaim telah memperoleh sebagian informasi akun pelanggan dan dokumen internal
- Dokumen internal itu, menurut laporan perusahaan dalam pengajuan ke SEC, mencakup materi terkait layanan pelanggan dan sistem manajemen akun
- Penyerang menuntut $20 juta agar informasi tersebut tidak dipublikasikan
- Coinbase tidak membayar tebusan dan sedang menyelidiki kasus ini bersama penegak hukum
- Dalam tulisan blog, perusahaan menyatakan bahwa alih-alih memenuhi tuntutan tersebut, mereka menyiapkan hadiah $20 juta untuk informasi yang mengarah pada penangkapan dan vonis bersalah pelaku
Informasi yang terekspos dan cakupan dampaknya
- Data yang terdampak mencakup informasi sensitif pelanggan
- nama, alamat, nomor telepon, email
- nomor rekening bank dan pengenal lain yang disamarkan
- 4 digit terakhir nomor Social Security
- gambar identitas resmi
- saldo akun
- Kata sandi, private key, dan dana tidak terekspos
- Akun Coinbase Prime tidak terdampak
- Pelanggan yang mengirim dana karena tertipu oleh penyerang akan diganti rugi
Penyalahgunaan akses internal dan deteksi lebih awal
- Penyerang memperoleh informasi dengan menyuap kontraktor luar negeri dan karyawan yang menjalankan peran dukungan
- Orang dalam yang disuap menyalahgunakan akses ke sistem dukungan pelanggan untuk mencuri data sebagian akun pelanggan
- Coinbase telah mendeteksi pelanggaran ini secara independen dalam beberapa bulan sebelumnya dan segera memecat karyawan terkait
- Perusahaan telah memperingatkan pelanggan yang kemungkinan datanya diakses dan memperkuat perlindungan pemantauan penipuan
Perkembangan bisnis Coinbase terbaru
- Coinbase mengoperasikan bursa kripto terbesar di Amerika Serikat
- Dalam sepekan terakhir, perusahaan mengumumkan akuisisi yang diperkirakan akan membantu ekspansi globalnya, dan juga dipastikan akan masuk ke S&P 500 mulai pekan depan
- Dalam conference call laporan kinerja pekan lalu, CEO Brian Armstrong menyampaikan target untuk menjadikan Coinbase sebagai aplikasi layanan keuangan nomor 1 di dunia dalam 5 hingga 10 tahun ke depan
1 komentar
Pendapat di Hacker News
Tautan ke dokumen pengungkapan SEC asli: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
Saya terus menerima telepon spear phishing dari pihak ini atau dari seseorang yang membeli data yang bocor
Modusnya klasik: mereka bilang perlu memverifikasi transaksi yang mungkin penipuan, memakai bahasa Inggris sempurna dengan aksen Amerika, terdengar sangat ramah, dan bahkan tahu saldo akun saya
Untungnya pada panggilan pertama saya langsung sadar itu penipuan, dan sisanya berhasil diblokir dengan baik oleh fitur penyaring panggilan Google
Kalau bisa, saya ingin mengalihkannya ke Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase pada dasarnya menyerahkan bukan hanya nama dan alamat, tetapi juga saldo, riwayat transaksi, dan gambar identitas pemerintah; orang dengan saldo kripto besar sedang diserang di jalan atau di rumah, atau keluarganya diculik untuk tebusan
Di sini, jumlah “besar” bisa saja 10 ribu dolar atau kurang
Hingga sekarang pertahanan terbaik adalah menjaga kerahasiaan, dan tidak membicarakan kripto secara publik dengan cara yang bisa dikaitkan ke nama asli; berkat Coinbase, garis pertahanan itu hilang
Para penjahat bisa tahu siapa saja yang pernah punya saldo berarti di Coinbase, apakah saldo itu sudah dicairkan dan berapa jumlahnya, bahkan apakah pernah memindahkan token ke dompet sendiri di luar bursa
Sekarang mereka tahu siapa yang layak diculik dan tinggal di mana; jika nama dan alamat rumah dicari di Google, biasanya nama anggota keluarga yang bisa dijadikan target pemerasan atau penculikan juga akan muncul
Coinbase kemungkinan tidak akan dipaksa mengganti seluruh biaya kerugian nyata, padahal biaya itu bisa sampai membuat perusahaan bangkrut
Saya penasaran bagaimana pengguna iPhone menangani ini
Akun Microsoft juga begitu
Biasanya saya abaikan saja, tetapi rasanya ada orang yang sedang menguji apakah mereka bisa login dengan email saya
Sulit dipercaya penjelasan bahwa Coinbase tidak melihat ini sebagai masalah sistemik sampai mereka dihubungi oleh “penjahat siber”
Beberapa waktu lalu saya iseng melihat email phishing dan menemukan karakter Unicode aneh yang diterjemahkan keliru, lalu langsung mengenalinya sebagai jejak terjemahan yang buruk
Belum sempurna, tetapi cukup rapi
Masalahnya, data yang bocor tampaknya seperti data yang dipakai untuk pemulihan akun
Artinya, baik karena kesalahan Anda sendiri maupun kesalahan Coinbase, jika Anda kehilangan akses akun, proses pemulihannya mungkin tidak lagi sederhana, dan peretas juga bisa memakai informasi bocor ini untuk mencoba “memulihkan” akun
Coinbase perlu punya cabang offline. Harus ada tempat untuk menangani hal seperti pemulihan akun secara langsung, menangkap dan menuntut orang yang mencoba mencuri uang, dan itu juga menjadi penghalang besar bagi pencuri yang biasanya beroperasi dari luar negeri
Satu-satunya solusi di sini adalah autentikasi dua faktor berbasis hardware seperti YubiKey
Yang baru saja dijelaskan itu sama seperti yang oleh banyak pendukung kripto disebut bank
Bagaimanapun, kripto adalah satu lagi infrastruktur kunci publik
Saya menghubungi dukungan pelanggan Coinbase untuk memastikan apakah saya terdampak
Setelah membuang waktu dengan bot AI, saya terhubung ke manusia, tetapi staf itu tidak tahu soal kebocoran tersebut dan saya adalah orang pertama yang memberitahunya
Sumber: saya terdampak
Alasan Coinbase harus menyimpan informasi sensitif jauh lebih banyak daripada yang diperlukan untuk verifikasi identitas dan autentikasi adalah karena Know Your Customer
Foto paspor dicuri, dan sebagian tanggung jawab atas apa pun yang dilakukan penjahat atau karyawan Coinbase berniat jahat dengan informasi itu patut dialamatkan juga kepada pemerintah
Masalah di sini bukan regulasi pemerintah, melainkan perusahaan swasta yang menangani data pelanggan secara ceroboh
Bersikap ceroboh itu murah, dan karena informasi yang dipertaruhkan bukan milik perusahaan melainkan milik pelanggan, insentif untuk benar-benar melindunginya kecil kecuali diwajibkan oleh hukum
Mereka harus menjelaskan secara jujur mengapa semua agen dukungan perlu punya akses permanen ke dokumen verifikasi identitas
Dokumen itu hanya diperlukan untuk Know Your Customer
Coinbase tampaknya cukup berusaha memisahkan diri dari apa yang mereka sebut “staf dukungan jahat di luar negeri”
Jika mereka adalah karyawan atau kontraktor Coinbase, maka pada dasarnya perusahaan menjual datanya sendiri kepada peretas, lalu peretas itu kembali meminta tebusan
Masuk akal untuk mengganti rugi pelanggan yang tertipu hingga mengirim uang. Karena argumen gugatan bahwa tindakan Coinbase menyebabkan kerugian tampak cukup jelas
Yang lebih membuat penasaran adalah apakah orang yang merasa perlu pindah rumah, mengganti bank, mengganti email, menyewa tenaga keamanan, dan sebagainya bisa menang dalam gugatan untuk menagih sebagian atau seluruh biaya itu kepada perusahaan
Jika karyawan perusahaan melanggar kebijakan, dan mungkin secara ilegal mengambil data internal perusahaan lalu menyerahkannya ke peretas dengan imbalan uang, sulit untuk mengatakan “perusahaan kami menjual data”
Postingan blog Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
Mereka mengatakan akan mengganti rugi pelanggan yang tertipu serangan rekayasa sosial hingga mengirim dana kepada penyerang, dan pelanggan yang datanya diakses sudah dikirimi email dari no-reply@info.coinbase.com
Semua pemberitahuan kepada pelanggan terdampak disebut dikirim pada 15/5 pukul 07.20 Waktu Timur
Saya paham sulitnya menjalankan perusahaan seperti Coinbase, tetapi kekuatan terbesar berupa sentralisasi dan dukungan pelanggan juga justru menjadi faktor yang memungkinkan rekayasa sosial semacam ini, jadi terasa seperti pilihan yang agak aneh
Entah apakah ada lapisan perlindungan data tambahan di balik paywall Coinbase Prime, atau sengaja dihindari karena penggunanya kemungkinan lebih berpengalaman
Menurut penjelasan kebocoran, penyerang tampaknya membayar beberapa kontraktor atau karyawan yang menangani dukungan di luar AS agar mengumpulkan informasi dari sistem internal Coinbase yang memang dapat mereka akses untuk pekerjaan
Dilihat dari informasi yang bocor, sumbernya kemungkinan besar adalah dukungan pelanggan di Filipina
Gaji bulanan biasanya di bawah 1.000 dolar, dan untuk level pemula bisa kurang dari 500 dolar, jadi suap 5.000 dolar bisa setara lebih dari satu tahun penghasilan tanpa pajak
Jika melihat uang yang bisa dihasilkan dari dataset ini, itu investasi kecil
Item yang bocor mencakup nama, alamat, nomor telepon, email, 4 digit terakhir nomor Social Security yang dimasking, nomor rekening bank yang dimasking beserta sebagian pengenal bank, gambar identitas pemerintah seperti SIM dan paspor, snapshot saldo dan riwayat transaksi, serta sebagian dokumen perusahaan, materi pelatihan, dan komunikasi yang bisa dilihat staf dukungan
Ini adalah data impian setiap penyerang, dan alamat email plus saldo akun saja sudah cukup menjadi mimpi buruk
Alih-alih memeras perusahaan, mereka bisa memeras setiap pengguna secara langsung. Misalnya, “kirim 50% BTC milikmu atau semua informasimu akan saya sebarkan di internet”
Ini sepertinya akan mirip dengan kebocoran data Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach
Di Prancis, sejak awal tahun ini saja sudah ada setidaknya 5 kasus penculikan dan percobaan penculikan yang terkait dengan investor kripto
Perusahaan-perusahaan AS mengalihdayakan dukungan pelanggan ke Filipina dengan bayaran 3–6 dolar per jam
Perusahaan penyedia layanan memiliki tingkat turnover yang sangat tinggi, dan di sebagian perusahaan rata-rata masa kerja karyawan sekitar 6 bulan
Tidak ada alasan sama sekali untuk loyal
Justru arahnya berkebalikan
Saya rasa guncangan seperti ini akan segera membuat AS jatuh ke dalam kekacauan
Jika di AS, harganya tentu jauh lebih tinggi, tetapi keuntungan dari serangan itu kemungkinan juga akan disesuaikan ke sisi yang lebih besar
Apa pun pandangan terhadap Coinbase, respons kali ini terlihat cukup bagus
Mereka tidak membayar tebusan 20 juta dolar, melainkan menawarkan hadiah 20 juta dolar untuk informasi yang berujung pada penangkapan dan vonis bersalah pihak yang bertanggung jawab
Judulnya “Protecting Our Customers - Standing Up to Extortionists”, padahal situasinya seharusnya mereka meminta maaf karena membocorkan informasi pribadi; masalahnya, pengumuman itu ditulis sedemikian rupa sehingga orang-orang memuji mereka
Hal ini benar-benar membuat saya marah
Selain itu, judul email yang saya terima adalah “important notice”, dan fakta bahwa akun pribadi saya terdampak ada di kalimat ketiga dari paragraf yang panjang
Tidak ada yang baik-baik saja, dan ini bukan tampilan perusahaan yang menangani masalah secara serius
Pada momen seperti ini, itu juga kesempatan bagus untuk sejenak keluar dari bahasa korporat dan mengatakan sesuatu seperti “persetan kalian, para hacker bajingan!”
Bahkan orang-orang yang tinggal di Bible Belt pun bisa menerima satu makian yang tepat waktu
Bagus kalau mereka juga menyiapkan program hadiah, tetapi kalau itu data saya, saya lebih peduli Coinbase mengurangi cakupan kebocoran daripada bermain sayembara balas dendam
Sangat disayangkan bahwa Coinbase sejak awal harus memiliki informasi seperti ini karena regulasi Know Your Customer
Kita perlu membangun norma sosial yang kuat untuk tidak membagikan informasi identitas pribadi tanpa alasan yang sah
Ini bukan hanya risiko pencurian terhadap individu, melainkan juga risiko keamanan nasional
Coinbase tidak menyetor ke akun Social Security saya, jadi mereka tidak boleh memiliki nomor Social Security saya; mereka tidak mengunjungi rumah saya, jadi mereka tidak boleh memiliki alamat saya
Secara historis, regulasi Know Your Customer tersebar luas di negara-negara blok komunis, tetapi di sebagian besar negara demokratis sulit dibayangkan sebelum 9/11
9/11 memberi badan intelijen peluang sempurna untuk memasukkan daftar keinginan mereka ke dalam undang-undang, dan sayangnya ini membantu badan intelijen asing sama besarnya, bahkan mungkin lebih, dibanding badan intelijen domestik
Kapan aturan ini diperkenalkan di berbagai negara bisa dilihat di sini: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...