Catatan mengungkap serangan terhadap Coinbase berlangsung berbulan-bulan sebelum perusahaan mengetahui pelanggaran

 (jonathanclark.com)
1 poin oleh GN⁺ 2025-11-17 | 1 komentar | Bagikan ke WhatsApp
  • Pada Januari 2025, muncul kasus yang menunjukkan penyerang telah mengetahui detail informasi pribadi seperti nomor jaminan sosial dan saldo Bitcoin
  • Korban segera mengirimkan laporan teknis terperinci kepada tim keamanan Coinbase, tetapi selama 4 bulan berikutnya tidak ada jawaban atas pertanyaan-pertanyaan kunci
  • Baru pada Mei Coinbase mengakui kebocoran data internal oleh karyawan vendor luar negeri (TaskUs), dan mengumumkan dampak terhadap sekitar 1% pelanggan serta kerugian hingga 400 juta dolar AS
  • Analisis header email mengonfirmasi struktur serangan multi-tahap, termasuk pengiriman palsu melalui Amazon SES, penggunaan nomor Google Voice, dan serangan bom SMS
  • Jeda 4 bulan antara waktu pelaporan dan waktu pengungkapan menunjukkan kegagalan pemantauan keamanan dan ketiadaan respons, sekaligus menyoroti masalah kepercayaan terhadap bursa terpusat

Ringkasan insiden

  • Pada 7 Januari 2025, korban menerima email berjudul “2.93 ETH withdrawal request” dan kemudian mendapat telepon yang menyamar sebagai Coinbase
    • Penelepon mengetahui data nonpublik seperti nomor jaminan sosial, saldo Bitcoin, dan informasi SIM
    • Korban segera melaporkan hal ini ke tim keamanan Coinbase, serta menyerahkan materi analisis rinci yang mencakup header email, rekaman suara, dan informasi penyerang
  • Brett Farmer, kepala Trust & Safety Coinbase, menjawab bahwa itu adalah “laporan yang sangat solid”, tetapi setelah itu tidak menanggapi semua pertanyaan lanjutan

Ketidaksesuaian dengan pengumuman resmi Coinbase

  • Coinbase mengumumkan bahwa mereka baru mengetahui pelanggaran tersebut pada 11 Mei 2025, lalu mengungkapkannya pada 15 Mei
    • Penyerang menyuap karyawan TaskUs di India untuk mencuri data pelanggan
    • Data yang bocor: nama, alamat, nomor telepon, email, 4 digit terakhir nomor jaminan sosial, gambar identitas pemerintah, saldo akun, dan riwayat transaksi
    • Skala dampak diperkirakan kurang dari 1% pelanggan, dengan kerugian sekitar 180 juta hingga 400 juta dolar AS
    Iklan
  • Namun, korban sudah pada Januari menunjukkan bukti bahwa penyerang telah mengakses data internal, dan Coinbase mengabaikannya

Struktur detail serangan

  • Pemalsuan email:
    • Alamat pengirim adalah commerce@coinbase.com, tetapi server pengirim sebenarnya adalah Amazon SES(a32-86.smtp-out.amazonses.com)
    • Tanda tangan DKIM untuk coinbase.com dan amazonses.com sama-sama lolos, sehingga tampak tepercaya
    • Return-Path disetel ke amazonses.com, menunjukkan kemungkinan pemalsuan
  • Penipuan via telepon:
    • Nomor penelepon 1-805-885-0141 teridentifikasi sebagai nomor Google Voice
    • Penyerang mendorong korban untuk “memindahkan aset ke cold wallet”
  • Serangan bom SMS:
    • Tepat setelah panggilan, ratusan SMS spam diterima
    • Ini dianalisis sebagai teknik pembuatan noise untuk memancing kode autentikasi dua faktor (2FA) dan peringatan keamanan
Iklan

Masalah di Coinbase

  • Alih daya pekerjaan yang sensitif terhadap keamanan: tenaga kontrak luar negeri dapat mengakses informasi identitas pelanggan dan data akun
  • Gagal mendeteksi pelanggaran: meski serangan telah berlangsung sejak Januari, sistem pemantauan internal tidak mendeteksinya sampai Mei
  • Mengabaikan laporan pengguna: laporan teknis dan pertanyaan korban tidak dijawab selama 4 bulan
  • Keterlambatan pengungkapan: meski serangan telah berlangsung selama berbulan-bulan, pengakuan resmi baru muncul setelah adanya tuntutan tebusan

Saran keamanan untuk pengguna

  • Jangan percaya nomor telepon atau caller ID, selalu verifikasi ulang melalui nomor di situs resmi
  • Meski penyerang mengetahui informasi pribadi, jangan langsung percaya; diperlukan autentikasi dua arah
  • Lakukan analisis header email untuk memeriksa server pengirim serta hasil SPF dan DKIM
  • Verifikasi nomor callback dan konfirmasi identitas melalui prosedur autentikasi di dalam aplikasi
  • Tolak permintaan pemindahan dana yang menekan, dan gunakan 2FA berbasis aplikasi, bukan SMS
  • Jika mengalami serangan, segera laporkan dengan seluruh informasi teknis

Arti dari jeda 4 bulan

  • Korban telah menyerahkan bukti pelanggaran dan rekaman pada Januari, tetapi Coinbase tidak merespons hingga Mei
  • Selama periode ini, ada kemungkinan pelanggan lain juga terekspos pada serangan yang sama
  • Sikap diam Coinbase mengungkap cacat struktural dalam sistem peringatan keamanan dan prosedur respons pelanggan
  • Insiden ini melambangkan masalah kepercayaan dan tanggung jawab bursa terpusat, dan korban menyimpulkan bahwa “keheningan itu berlangsung selama 120 hari”

Pertanyaan kunci yang masih tersisa untuk Coinbase

  • Kapan sebenarnya kebocoran data terjadi
  • Berapa jumlah korban antara Januari hingga Mei dan bagaimana catatan penanganan laporannya
  • Apa penyebab kegagalan kontrol akses internal dan apakah ada respons regulasi
  • Apakah langkah perbaikan keamanan yang diklaim Coinbase benar-benar dapat diverifikasi efektivitasnya

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-17
Pendapat Hacker News

  • Menurut laporan Reuters tertanggal 2 Juni, terungkap bahwa Coinbase sudah mengetahui sejak Januari adanya kebocoran data pelanggan melalui vendor outsourcing
    Menurut pengajuan SEC pada 14 Mei, pada 11 Mei Coinbase menerima email dari penyerang tak dikenal yang menyatakan telah memperoleh informasi akun pelanggan dan dokumen internal, termasuk materi terkait layanan pelanggan dan sistem manajemen akun

    • Saya melaporkan masalah ini ke Coinbase pada 7 Januari. Waktunya cocok sekali. Dari sikap percaya diri staf yang saya ajak bicara, sepertinya saya bukan pelapor pertama
    • Rasanya kata “vendor outsourcing” ke depan akan menjadi subjudul umum di artikel-artikel tentang insiden seperti ini

  • Dulu saya pernah menangani pekerjaan jaringan di coworking space tempat Coinbase berkantor, dan password admin ditulis di papan tulis serta terlihat dari koridor
    Saya menegur lewat email dan bahkan menagih biayanya, tapi solusi mereka cuma menutupi password itu dengan selembar kertas. Masa yang benar-benar konyol

    • Mengirim tagihan untuk layanan yang tidak diminta adalah cara agar email Anda tidak pernah dianggap serius
    • Ini sama sekali tidak mengejutkan. Seluruh industri Bitcoin dan fintech terlalu sembrono

  • Sekitar sebulan lalu saya menerima telepon di Inggris dari seseorang yang mengaku dari Coinbase
    Ketika saya bilang akun saya cuma punya sekitar £5 dalam Bitcoin Cash, dia langsung kehilangan minat dan bilang akan lanjut lewat email
    Dia bertanya apakah saya punya “cold storage”, dan saya jawab saya punya kulkas. Itu memang benar

    • Hahaha, kalau nanti ada telepon spam lagi, saya juga akan pakai lelucon ini

  • Judul artikelnya terlalu clickbait
    Sebenarnya ini cuma rekaman yang menunjukkan penyerang phishing berusaha menggali informasi, bukan bukti bahwa Coinbase tahu soal kebocoran itu
    Hanya karena pelapor menyerahkan materi ke Coinbase bukan berarti mereka sudah menyadari adanya breach

    • Saya mengirim rekaman panggilan dan email itu ke Coinbase, dan mereka membalas, “laporan ini sangat solid dan layak diselidiki. Saat ini kami sedang menyelidiki penipu tersebut”
    • Sepertinya Anda tidak membaca artikelnya dengan benar. Semua yang diperlukan sudah ada di dalam artikel

  • Ceritanya menarik, tapi fakta bahwa tulisannya dibuat dengan AI sangat mengganggu. Tidak nyaman dibaca

    • Saya ingin tahu bagaimana Anda bisa begitu yakin. LLM memang meniru gaya bicara manusia, tapi pada akhirnya gaya itu juga berasal dari gaya seseorang.
      Pola bahasa LLM saat ini kemungkinan besar adalah hasil menyalin kebiasaan menulis seseorang
    • Saya tidak tahu apakah ini ditulis dengan AI, tapi kalimat yang sama terus diulang. Isinya akan tetap sama meski dipotong jadi sepertiganya
    • Saya juga terganggu oleh “nada ala LinkedIn” khas AI. Struktur kalimatnya memang membaik, tapi masih penuh dramatisasi berlebihan, daftar yang tidak perlu, dan judul buatan seperti “The Call That Changed Everything”
      Terutama ungkapan seperti “The Timeline That Doesn’t Make Sense” tidak cocok dengan isi sebenarnya.
      Jika perusahaan besar sedang menjalankan investigasi yang rumit, wajar kalau pengumuman butuh waktu. Namun AI mengabaikan konteks dan langsung menyimpulkan itu “aneh”.
      Penilaian tanpa konteks seperti inilah yang tampak sebagai masalah terbesar tulisan AI
    • Untuk membuat klaim seperti itu, Anda perlu bahan pendukung

  • Ini sulit dianggap sebagai bukti
    Penulis hanya menerima panggilan phishing lalu melaporkannya ke Coinbase. Coinbase menerima ratusan laporan phishing seperti ini setiap hari
    Informasi yang diketahui penyerang juga bisa saja berasal dari kebocoran data lain. Besar kemungkinan pelanggan secara tidak sengaja membocorkan informasi akunnya

    • Awalnya saya kira mereka melacak riwayat transaksi blockchain dan menghubungkannya dengan nama saya.
      Tapi penyerang tahu saldo ETH dan BTC saya, serta tanggal pembuatan akun.
      Tanggal pembuatan mungkin masih bisa dilacak, tapi mengetahui saldo dua koin sekaligus rasanya mustahil tanpa informasi internal Coinbase

  • Linimasanya memang menarik, tapi satu kasus ini saja tidak cukup untuk menyimpulkan Coinbase menyadari adanya kebocoran
    Malware screen-scraping itu umum, dan dari sudut pandang analis wajar jika disimpulkan bahwa infeksi terjadi di sisi pelanggan
    Memang sering ada kasus pelanggan diretas lalu menyalahkan perusahaan

    • Namun setelah saya mengirim rekaman panggilan dan bahkan header email, kepala trust & safety Coinbase sendiri membalas, “laporan ini sangat solid. Saat ini kami sedang menyelidiki scammer tersebut”

  • Saya juga mendeteksi tanda-tanda peretasan Coinbase pada periode yang mirip
    Bahkan kunci API Discord ikut bocor dan baru di-reset sekitar April–Mei.
    Ini tampaknya berarti bahkan sistem pengelolaan rahasia (secrets manager) pusat pun berhasil ditembus

  • Organisasi kami juga memakai Coinbase, dan pada awal Februari 2025 kami menerima upaya serangan
    Untungnya penanggung jawab akun kami sangat curiga, jadi dia memverifikasi langsung lewat kontak resmi organisasi lawan dan berhasil mencegah kerugian