1 poin oleh GN⁺ 2025-05-16 | 1 komentar | Bagikan ke WhatsApp
  • Coinbase mengungkap insiden kebocoran data pelanggan setelah personel dukungan luar negeri disuap, dan penyerang berupaya memanfaatkan data itu untuk serangan rekayasa sosial; biaya penanganannya diperkirakan bisa mencapai $400 juta
  • Penyerang mengklaim telah memperoleh sebagian informasi akun pelanggan dan dokumen internal pada 11 Mei, lalu menuntut $20 juta agar data tersebut tidak dipublikasikan
  • Data yang bocor mencakup nama, informasi kontak, informasi rekening bank yang disamarkan, gambar identitas, dan saldo akun, tetapi kata sandi, private key, dan dana tidak terekspos, dan akun Coinbase Prime juga tidak terdampak
  • Coinbase menolak membayar tebusan dan sedang bekerja sama dengan penegak hukum, memecat karyawan terkait, memperingatkan pelanggan yang mungkin terdampak, lalu memperkuat perlindungan pemantauan penipuan
  • Perusahaan menawarkan hadiah $20 juta untuk informasi yang mengarah pada penangkapan dan vonis bersalah pelaku, serta menyatakan akan mengganti rugi pelanggan yang mengirim dana karena tertipu oleh penyerang

Pencurian data akibat penyuapan terhadap personel dukungan luar negeri

  • Menurut Coinbase, pelaku kejahatan siber menyuap agen dukungan di luar negeri untuk mencuri data pelanggan, dan berusaha menggunakan data tersebut dalam serangan rekayasa sosial
  • Biaya penanganan insiden ini bisa mencapai $400 juta
  • Saham Coinbase turun lebih dari 6% dalam perdagangan pagi

Tuntutan $20 juta dan respons Coinbase

  • Coinbase menerima email pada 11 Mei yang mengklaim telah memperoleh sebagian informasi akun pelanggan dan dokumen internal
    • Dokumen internal itu, menurut laporan perusahaan dalam pengajuan ke SEC, mencakup materi terkait layanan pelanggan dan sistem manajemen akun
  • Penyerang menuntut $20 juta agar informasi tersebut tidak dipublikasikan
  • Coinbase tidak membayar tebusan dan sedang menyelidiki kasus ini bersama penegak hukum
  • Dalam tulisan blog, perusahaan menyatakan bahwa alih-alih memenuhi tuntutan tersebut, mereka menyiapkan hadiah $20 juta untuk informasi yang mengarah pada penangkapan dan vonis bersalah pelaku

Informasi yang terekspos dan cakupan dampaknya

  • Data yang terdampak mencakup informasi sensitif pelanggan
    • nama, alamat, nomor telepon, email
    • nomor rekening bank dan pengenal lain yang disamarkan
    • 4 digit terakhir nomor Social Security
    • gambar identitas resmi
    • saldo akun
  • Kata sandi, private key, dan dana tidak terekspos
  • Akun Coinbase Prime tidak terdampak
  • Pelanggan yang mengirim dana karena tertipu oleh penyerang akan diganti rugi

Penyalahgunaan akses internal dan deteksi lebih awal

  • Penyerang memperoleh informasi dengan menyuap kontraktor luar negeri dan karyawan yang menjalankan peran dukungan
  • Orang dalam yang disuap menyalahgunakan akses ke sistem dukungan pelanggan untuk mencuri data sebagian akun pelanggan
  • Coinbase telah mendeteksi pelanggaran ini secara independen dalam beberapa bulan sebelumnya dan segera memecat karyawan terkait
  • Perusahaan telah memperingatkan pelanggan yang kemungkinan datanya diakses dan memperkuat perlindungan pemantauan penipuan

Perkembangan bisnis Coinbase terbaru

  • Coinbase mengoperasikan bursa kripto terbesar di Amerika Serikat
  • Dalam sepekan terakhir, perusahaan mengumumkan akuisisi yang diperkirakan akan membantu ekspansi globalnya, dan juga dipastikan akan masuk ke S&P 500 mulai pekan depan
  • Dalam conference call laporan kinerja pekan lalu, CEO Brian Armstrong menyampaikan target untuk menjadikan Coinbase sebagai aplikasi layanan keuangan nomor 1 di dunia dalam 5 hingga 10 tahun ke depan

1 komentar

 
GN⁺ 2025-05-16
Pendapat di Hacker News
  • Tautan ke dokumen pengungkapan SEC asli: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • Saya terus menerima telepon spear phishing dari pihak ini atau dari seseorang yang membeli data yang bocor
    Modusnya klasik: mereka bilang perlu memverifikasi transaksi yang mungkin penipuan, memakai bahasa Inggris sempurna dengan aksen Amerika, terdengar sangat ramah, dan bahkan tahu saldo akun saya
    Untungnya pada panggilan pertama saya langsung sadar itu penipuan, dan sisanya berhasil diblokir dengan baik oleh fitur penyaring panggilan Google
    Kalau bisa, saya ingin mengalihkannya ke Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg

    • Kalau sebelum kebocoran ini Anda pernah menyimpan aset bernilai berarti di Coinbase, spear phishing adalah kekhawatiran paling kecil
      Coinbase pada dasarnya menyerahkan bukan hanya nama dan alamat, tetapi juga saldo, riwayat transaksi, dan gambar identitas pemerintah; orang dengan saldo kripto besar sedang diserang di jalan atau di rumah, atau keluarganya diculik untuk tebusan
      Di sini, jumlah “besar” bisa saja 10 ribu dolar atau kurang
      Hingga sekarang pertahanan terbaik adalah menjaga kerahasiaan, dan tidak membicarakan kripto secara publik dengan cara yang bisa dikaitkan ke nama asli; berkat Coinbase, garis pertahanan itu hilang
      Para penjahat bisa tahu siapa saja yang pernah punya saldo berarti di Coinbase, apakah saldo itu sudah dicairkan dan berapa jumlahnya, bahkan apakah pernah memindahkan token ke dompet sendiri di luar bursa
      Sekarang mereka tahu siapa yang layak diculik dan tinggal di mana; jika nama dan alamat rumah dicari di Google, biasanya nama anggota keluarga yang bisa dijadikan target pemerasan atau penculikan juga akan muncul
      Coinbase kemungkinan tidak akan dipaksa mengganti seluruh biaya kerugian nyata, padahal biaya itu bisa sampai membuat perusahaan bangkrut
    • Saya pindah dari Pixel ke iPhone dan kaget karena telepon spam sangat banyak
      Saya penasaran bagaimana pengguna iPhone menangani ini
    • Saya mulai rutin menerima SMS kode verifikasi login Coinbase, padahal saya tidak pernah mencoba login
      Akun Microsoft juga begitu
      Biasanya saya abaikan saja, tetapi rasanya ada orang yang sedang menguji apakah mereka bisa login dengan email saya
    • Saya penasaran sudah berapa lama telepon spear phishing semacam ini meningkat
      Sulit dipercaya penjelasan bahwa Coinbase tidak melihat ini sebagai masalah sistemik sampai mereka dihubungi oleh “penjahat siber”
    • Sejak adanya AI, penipuan jadi lebih canggih, dan sebagian besar salah eja yang umum sudah hilang
      Beberapa waktu lalu saya iseng melihat email phishing dan menemukan karakter Unicode aneh yang diterjemahkan keliru, lalu langsung mengenalinya sebagai jejak terjemahan yang buruk
      Belum sempurna, tetapi cukup rapi
  • Masalahnya, data yang bocor tampaknya seperti data yang dipakai untuk pemulihan akun
    Artinya, baik karena kesalahan Anda sendiri maupun kesalahan Coinbase, jika Anda kehilangan akses akun, proses pemulihannya mungkin tidak lagi sederhana, dan peretas juga bisa memakai informasi bocor ini untuk mencoba “memulihkan” akun
    Coinbase perlu punya cabang offline. Harus ada tempat untuk menangani hal seperti pemulihan akun secara langsung, menangkap dan menuntut orang yang mencoba mencuri uang, dan itu juga menjadi penghalang besar bagi pencuri yang biasanya beroperasi dari luar negeri
    Satu-satunya solusi di sini adalah autentikasi dua faktor berbasis hardware seperti YubiKey

    • Industri kripto terus dengan cepat menemukan kembali alasan mengapa sistem keuangan global ada
      Yang baru saja dijelaskan itu sama seperti yang oleh banyak pendukung kripto disebut bank
    • Itu cuma bank
    • Kalau autentikasi dua faktor berbasis hardware seperti YubiKey hilang, apa yang harus dilakukan? Bukankah akhirnya kembali lagi ke tahap pemulihan akun?
    • Jika Anda pernah mengirim uang ke dompet yang Anda kendalikan sendiri, meminta Anda menandatangani pesan dengan kunci itu lalu Coinbase memverifikasinya terhadap alamat yang tercatat bisa menjadi faktor pemulihan yang dapat dipercaya
      Bagaimanapun, kripto adalah satu lagi infrastruktur kunci publik
    • 99% data yang dipakai untuk pemulihan akun adalah catatan publik atau informasi yang sudah termasuk dalam puluhan kebocoran data besar
  • Saya menghubungi dukungan pelanggan Coinbase untuk memastikan apakah saya terdampak
    Setelah membuang waktu dengan bot AI, saya terhubung ke manusia, tetapi staf itu tidak tahu soal kebocoran tersebut dan saya adalah orang pertama yang memberitahunya

    • Mereka mengirim email ke akun yang terdampak
      Sumber: saya terdampak
    • Anda mendengar skrip “wah, kami tidak tahu dan Andalah pelanggan pertama yang memberi tahu kami”
  • Alasan Coinbase harus menyimpan informasi sensitif jauh lebih banyak daripada yang diperlukan untuk verifikasi identitas dan autentikasi adalah karena Know Your Customer
    Foto paspor dicuri, dan sebagian tanggung jawab atas apa pun yang dilakukan penjahat atau karyawan Coinbase berniat jahat dengan informasi itu patut dialamatkan juga kepada pemerintah

    • Know Your Customer punya alasan yang cukup baik
      Masalah di sini bukan regulasi pemerintah, melainkan perusahaan swasta yang menangani data pelanggan secara ceroboh
      Bersikap ceroboh itu murah, dan karena informasi yang dipertaruhkan bukan milik perusahaan melainkan milik pelanggan, insentif untuk benar-benar melindunginya kecil kecuali diwajibkan oleh hukum
    • Ini terlalu mudah sebagai pengalihan tanggung jawab
      Mereka harus menjelaskan secara jujur mengapa semua agen dukungan perlu punya akses permanen ke dokumen verifikasi identitas
      Dokumen itu hanya diperlukan untuk Know Your Customer
  • Coinbase tampaknya cukup berusaha memisahkan diri dari apa yang mereka sebut “staf dukungan jahat di luar negeri”
    Jika mereka adalah karyawan atau kontraktor Coinbase, maka pada dasarnya perusahaan menjual datanya sendiri kepada peretas, lalu peretas itu kembali meminta tebusan
    Masuk akal untuk mengganti rugi pelanggan yang tertipu hingga mengirim uang. Karena argumen gugatan bahwa tindakan Coinbase menyebabkan kerugian tampak cukup jelas
    Yang lebih membuat penasaran adalah apakah orang yang merasa perlu pindah rumah, mengganti bank, mengganti email, menyewa tenaga keamanan, dan sebagainya bisa menang dalam gugatan untuk menagih sebagian atau seluruh biaya itu kepada perusahaan

    • Tafsir seperti itu aneh
      Jika karyawan perusahaan melanggar kebijakan, dan mungkin secara ilegal mengambil data internal perusahaan lalu menyerahkannya ke peretas dengan imbalan uang, sulit untuk mengatakan “perusahaan kami menjual data”
  • Postingan blog Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
    Mereka mengatakan akan mengganti rugi pelanggan yang tertipu serangan rekayasa sosial hingga mengirim dana kepada penyerang, dan pelanggan yang datanya diakses sudah dikirimi email dari no-reply@info.coinbase.com
    Semua pemberitahuan kepada pelanggan terdampak disebut dikirim pada 15/5 pukul 07.20 Waktu Timur

    • Keputusan memakai no-reply itu menarik
      Saya paham sulitnya menjalankan perusahaan seperti Coinbase, tetapi kekuatan terbesar berupa sentralisasi dan dukungan pelanggan juga justru menjadi faktor yang memungkinkan rekayasa sosial semacam ini, jadi terasa seperti pilihan yang agak aneh
    • Mereka mengatakan “kata sandi, private key, dan dana tidak terekspos, dan akun Coinbase Prime tidak terdampak”, tapi saya penasaran kenapa akun Coinbase Prime tidak termasuk dalam kebocoran
      Entah apakah ada lapisan perlindungan data tambahan di balik paywall Coinbase Prime, atau sengaja dihindari karena penggunanya kemungkinan lebih berpengalaman
  • Menurut penjelasan kebocoran, penyerang tampaknya membayar beberapa kontraktor atau karyawan yang menangani dukungan di luar AS agar mengumpulkan informasi dari sistem internal Coinbase yang memang dapat mereka akses untuk pekerjaan
    Dilihat dari informasi yang bocor, sumbernya kemungkinan besar adalah dukungan pelanggan di Filipina
    Gaji bulanan biasanya di bawah 1.000 dolar, dan untuk level pemula bisa kurang dari 500 dolar, jadi suap 5.000 dolar bisa setara lebih dari satu tahun penghasilan tanpa pajak
    Jika melihat uang yang bisa dihasilkan dari dataset ini, itu investasi kecil
    Item yang bocor mencakup nama, alamat, nomor telepon, email, 4 digit terakhir nomor Social Security yang dimasking, nomor rekening bank yang dimasking beserta sebagian pengenal bank, gambar identitas pemerintah seperti SIM dan paspor, snapshot saldo dan riwayat transaksi, serta sebagian dokumen perusahaan, materi pelatihan, dan komunikasi yang bisa dilihat staf dukungan
    Ini adalah data impian setiap penyerang, dan alamat email plus saldo akun saja sudah cukup menjadi mimpi buruk
    Alih-alih memeras perusahaan, mereka bisa memeras setiap pengguna secara langsung. Misalnya, “kirim 50% BTC milikmu atau semua informasimu akan saya sebarkan di internet”
    Ini sepertinya akan mirip dengan kebocoran data Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • Pemerasan terhadap pengguna individual mungkin termasuk kekhawatiran yang paling kecil
      Di Prancis, sejak awal tahun ini saja sudah ada setidaknya 5 kasus penculikan dan percobaan penculikan yang terkait dengan investor kripto
    • Ini lebih serius lagi
      Perusahaan-perusahaan AS mengalihdayakan dukungan pelanggan ke Filipina dengan bayaran 3–6 dolar per jam
      Perusahaan penyedia layanan memiliki tingkat turnover yang sangat tinggi, dan di sebagian perusahaan rata-rata masa kerja karyawan sekitar 6 bulan
      Tidak ada alasan sama sekali untuk loyal
    • Regulasi pemerintah terhadap AI juga nyaris tidak ada, tidak ada hukuman untuk kebocoran data, dan tidak ada perangkat yang melindungi orang dari penyalahgunaan berskala besar
      Justru arahnya berkebalikan
      Saya rasa guncangan seperti ini akan segera membuat AS jatuh ke dalam kekacauan
    • Intinya bukan hanya upah rendah di Filipina, melainkan bahwa setiap orang punya harga
      Jika di AS, harganya tentu jauh lebih tinggi, tetapi keuntungan dari serangan itu kemungkinan juga akan disesuaikan ke sisi yang lebih besar
  • Apa pun pandangan terhadap Coinbase, respons kali ini terlihat cukup bagus
    Mereka tidak membayar tebusan 20 juta dolar, melainkan menawarkan hadiah 20 juta dolar untuk informasi yang berujung pada penangkapan dan vonis bersalah pihak yang bertanggung jawab

    • Sama sekali tidak bagus
      Judulnya “Protecting Our Customers - Standing Up to Extortionists”, padahal situasinya seharusnya mereka meminta maaf karena membocorkan informasi pribadi; masalahnya, pengumuman itu ditulis sedemikian rupa sehingga orang-orang memuji mereka
      Hal ini benar-benar membuat saya marah
      Selain itu, judul email yang saya terima adalah “important notice”, dan fakta bahwa akun pribadi saya terdampak ada di kalimat ketiga dari paragraf yang panjang
      Tidak ada yang baik-baik saja, dan ini bukan tampilan perusahaan yang menangani masalah secara serius
    • Ini taktik yang sama seperti dalam film Ransom tahun 1996: https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • Saya suka
      Pada momen seperti ini, itu juga kesempatan bagus untuk sejenak keluar dari bahasa korporat dan mengatakan sesuatu seperti “persetan kalian, para hacker bajingan!”
      Bahkan orang-orang yang tinggal di Bible Belt pun bisa menerima satu makian yang tepat waktu
    • Dari sudut pandang pelanggan, mungkin lebih baik membayar tebusan dan mendapatkan kembali informasi identitas pribadi
      Bagus kalau mereka juga menyiapkan program hadiah, tetapi kalau itu data saya, saya lebih peduli Coinbase mengurangi cakupan kebocoran daripada bermain sayembara balas dendam
  • Sangat disayangkan bahwa Coinbase sejak awal harus memiliki informasi seperti ini karena regulasi Know Your Customer
    Kita perlu membangun norma sosial yang kuat untuk tidak membagikan informasi identitas pribadi tanpa alasan yang sah
    Ini bukan hanya risiko pencurian terhadap individu, melainkan juga risiko keamanan nasional
    Coinbase tidak menyetor ke akun Social Security saya, jadi mereka tidak boleh memiliki nomor Social Security saya; mereka tidak mengunjungi rumah saya, jadi mereka tidak boleh memiliki alamat saya
    Secara historis, regulasi Know Your Customer tersebar luas di negara-negara blok komunis, tetapi di sebagian besar negara demokratis sulit dibayangkan sebelum 9/11
    9/11 memberi badan intelijen peluang sempurna untuk memasukkan daftar keinginan mereka ke dalam undang-undang, dan sayangnya ini membantu badan intelijen asing sama besarnya, bahkan mungkin lebih, dibanding badan intelijen domestik
    Kapan aturan ini diperkenalkan di berbagai negara bisa dilihat di sini: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • Saya ingin dengar apakah Anda masih bisa mengulang posisi itu setelah akun Coinbase Anda dibobol dan Anda harus mencari jalan pemulihan