Una recente violazione ha coinvolto Coinbase, una delle principali piattaforme di scambio di criptovalute, mettendo in luce i rischi legati agli attacchi di insider e alla sicurezza dei dati degli utenti. Secondo quanto comunicato dall’azienda, un gruppo di cybercriminali è riuscito a corrompere alcuni agenti del supporto clienti operanti all’estero, convincendoli tramite offerte in denaro a copiare informazioni sensibili contenute nei sistemi di assistenza clienti. I dati sottratti riguardano meno dell’1% degli utenti attivi mensilmente su Coinbase, ma il tentativo di estorsione che ne è seguito ha richiesto particolare attenzione.

Obiettivi e conseguenze dell’attacco

Gli attaccanti avevano come obiettivo la raccolta di dati sufficienti per impersonare Coinbase e ingannare gli utenti, inducendoli a trasferire i loro asset digitali. Nonostante ciò, il tentativo di estorcere 20 milioni di dollari a Coinbase è fallito. Gli autori della violazione sostenevano di essere in possesso di informazioni relative ad alcuni account e documenti interni. Coinbase ha dichiarato che tutti gli agenti coinvolti, che operavano soprattutto in India, sono stati licenziati.

Dati compromessi

Le informazioni trafugate includono nome, indirizzo, numero di telefono, email, ultime quattro cifre del Social Security Number, dati bancari parzialmente oscurati, immagini di documenti di identità e dettagli su saldo e transazioni. Tuttavia, non sono stati esposti né password, né chiavi private, né fondi degli utenti, e gli account Prime sono rimasti intatti.

Risposta di Coinbase e misure adottate

Coinbase ha annunciato il rimborso delle vittime che sono state indotte a trasferire fondi agli aggressori tramite tecniche di social engineering. Pur non essendo noto il numero esatto degli utenti colpiti, l’azienda ha specificato che meno dell’1% dei suoi circa 9,7 milioni di utenti mensili è stato interessato dall’incidente.

Rafforzamento della sicurezza e raccomandazioni

Per rafforzare la sicurezza, Coinbase sta implementando controlli aggiuntivi di verifica dell’identità per gli account considerati a rischio durante i prelievi di grandi somme e sta rafforzando le misure di difesa contro le minacce interne. È stato inoltre istituito un fondo di ricompensa da 20 milioni di dollari per chiunque fornisca informazioni utili all’arresto e alla condanna dei responsabili.

Come contromisura, si consiglia agli utenti di abilitare la allow-list degli indirizzi di prelievo, attivare l’autenticazione a due fattori e prestare massima attenzione a tentativi di phishing da parte di malintenzionati che si spacciano per Coinbase. L’indagine ha rivelato che il fenomeno dei dipendenti corrotti era monitorato già da gennaio e che i criminali hanno avuto accesso a dati sensibili per diversi mesi sfruttando le vulnerabilità dei processi di outsourcing.