Catatan mengungkap serangan terhadap Coinbase berlangsung berbulan-bulan sebelum perusahaan mengetahui pelanggaran

 (jonathanclark.com)
1 poin oleh GN⁺ 2025-11-17 | Belum ada komentar. | Bagikan ke WhatsApp
  • Pada Januari 2025, muncul kasus yang menunjukkan penyerang telah mengetahui detail informasi pribadi seperti nomor jaminan sosial dan saldo Bitcoin
  • Korban segera mengirimkan laporan teknis terperinci kepada tim keamanan Coinbase, tetapi selama 4 bulan berikutnya tidak ada jawaban atas pertanyaan-pertanyaan kunci
  • Baru pada Mei Coinbase mengakui kebocoran data internal oleh karyawan vendor luar negeri (TaskUs), dan mengumumkan dampak terhadap sekitar 1% pelanggan serta kerugian hingga 400 juta dolar AS
  • Analisis header email mengonfirmasi struktur serangan multi-tahap, termasuk pengiriman palsu melalui Amazon SES, penggunaan nomor Google Voice, dan serangan bom SMS
  • Jeda 4 bulan antara waktu pelaporan dan waktu pengungkapan menunjukkan kegagalan pemantauan keamanan dan ketiadaan respons, sekaligus menyoroti masalah kepercayaan terhadap bursa terpusat

Ringkasan insiden

  • Pada 7 Januari 2025, korban menerima email berjudul “2.93 ETH withdrawal request” dan kemudian mendapat telepon yang menyamar sebagai Coinbase
    • Penelepon mengetahui data nonpublik seperti nomor jaminan sosial, saldo Bitcoin, dan informasi SIM
    • Korban segera melaporkan hal ini ke tim keamanan Coinbase, serta menyerahkan materi analisis rinci yang mencakup header email, rekaman suara, dan informasi penyerang
  • Brett Farmer, kepala Trust & Safety Coinbase, menjawab bahwa itu adalah “laporan yang sangat solid”, tetapi setelah itu tidak menanggapi semua pertanyaan lanjutan

Ketidaksesuaian dengan pengumuman resmi Coinbase

  • Coinbase mengumumkan bahwa mereka baru mengetahui pelanggaran tersebut pada 11 Mei 2025, lalu mengungkapkannya pada 15 Mei
    • Penyerang menyuap karyawan TaskUs di India untuk mencuri data pelanggan
    • Data yang bocor: nama, alamat, nomor telepon, email, 4 digit terakhir nomor jaminan sosial, gambar identitas pemerintah, saldo akun, dan riwayat transaksi
    • Skala dampak diperkirakan kurang dari 1% pelanggan, dengan kerugian sekitar 180 juta hingga 400 juta dolar AS
  • Namun, korban sudah pada Januari menunjukkan bukti bahwa penyerang telah mengakses data internal, dan Coinbase mengabaikannya

Struktur detail serangan

  • Pemalsuan email:
    • Alamat pengirim adalah commerce@coinbase.com, tetapi server pengirim sebenarnya adalah Amazon SES(a32-86.smtp-out.amazonses.com)
    • Tanda tangan DKIM untuk coinbase.com dan amazonses.com sama-sama lolos, sehingga tampak tepercaya
    • Return-Path disetel ke amazonses.com, menunjukkan kemungkinan pemalsuan
  • Penipuan via telepon:
    • Nomor penelepon 1-805-885-0141 teridentifikasi sebagai nomor Google Voice
    • Penyerang mendorong korban untuk “memindahkan aset ke cold wallet”
  • Serangan bom SMS:
    • Tepat setelah panggilan, ratusan SMS spam diterima
    • Ini dianalisis sebagai teknik pembuatan noise untuk memancing kode autentikasi dua faktor (2FA) dan peringatan keamanan

Masalah di Coinbase

  • Alih daya pekerjaan yang sensitif terhadap keamanan: tenaga kontrak luar negeri dapat mengakses informasi identitas pelanggan dan data akun
  • Gagal mendeteksi pelanggaran: meski serangan telah berlangsung sejak Januari, sistem pemantauan internal tidak mendeteksinya sampai Mei
  • Mengabaikan laporan pengguna: laporan teknis dan pertanyaan korban tidak dijawab selama 4 bulan
  • Keterlambatan pengungkapan: meski serangan telah berlangsung selama berbulan-bulan, pengakuan resmi baru muncul setelah adanya tuntutan tebusan

Saran keamanan untuk pengguna

  • Jangan percaya nomor telepon atau caller ID, selalu verifikasi ulang melalui nomor di situs resmi
  • Meski penyerang mengetahui informasi pribadi, jangan langsung percaya; diperlukan autentikasi dua arah
  • Lakukan analisis header email untuk memeriksa server pengirim serta hasil SPF dan DKIM
  • Verifikasi nomor callback dan konfirmasi identitas melalui prosedur autentikasi di dalam aplikasi
  • Tolak permintaan pemindahan dana yang menekan, dan gunakan 2FA berbasis aplikasi, bukan SMS
  • Jika mengalami serangan, segera laporkan dengan seluruh informasi teknis

Arti dari jeda 4 bulan

  • Korban telah menyerahkan bukti pelanggaran dan rekaman pada Januari, tetapi Coinbase tidak merespons hingga Mei
  • Selama periode ini, ada kemungkinan pelanggan lain juga terekspos pada serangan yang sama
  • Sikap diam Coinbase mengungkap cacat struktural dalam sistem peringatan keamanan dan prosedur respons pelanggan
  • Insiden ini melambangkan masalah kepercayaan dan tanggung jawab bursa terpusat, dan korban menyimpulkan bahwa “keheningan itu berlangsung selama 120 hari”

Pertanyaan kunci yang masih tersisa untuk Coinbase

  • Kapan sebenarnya kebocoran data terjadi
  • Berapa jumlah korban antara Januari hingga Mei dan bagaimana catatan penanganan laporannya
  • Apa penyebab kegagalan kontrol akses internal dan apakah ada respons regulasi
  • Apakah langkah perbaikan keamanan yang diklaim Coinbase benar-benar dapat diverifikasi efektivitasnya

Bacaan terkait

Belum ada komentar.

Belum ada komentar.