ผู้เขียนต้นฉบับ: Ben Weiss, Jeff John Roberts
แปลต้นฉบับ: ลูฟี่, ฟอร์ไซท์ นิวส์
Brian Armstrong ผู้ก่อตั้งร่วมและซีอีโอของ Coinbase กล่าวสุนทรพจน์ในงานที่เมืองเบงกาลูรู ประเทศอินเดีย ในปี 2022
เมื่อวันที่ 15 พฤษภาคม 2025 Coinbase เปิดเผยว่าข้อมูลส่วนตัวของลูกค้าหลายหมื่นรายถูกขโมย ซึ่งถือเป็นเหตุการณ์ด้านความปลอดภัยที่ใหญ่ที่สุดในประวัติศาสตร์ของบริษัท และคาดว่าจะทำให้เกิดการสูญเสียสูงถึง 400 ล้านดอลลาร์ การละเมิดข้อมูลนั้นโดดเด่นไม่เพียงแต่ในด้านขนาดเท่านั้น แต่ยังรวมถึงวิธีการโจมตีของแฮกเกอร์อีกด้วย นั่นคือการติดสินบนเจ้าหน้าที่บริการลูกค้าในต่างประเทศเพื่อให้ได้มาซึ่งข้อมูลที่เป็นความลับของลูกค้า
Coinbase ได้ออกมาประกาศอย่างเป็นทางการว่าจะจ่ายเงินรางวัล 20 ล้านเหรียญสหรัฐให้กับผู้แจ้งเบาะแสที่ให้ข้อมูลที่สามารถนำไปสู่การจับกุมและตัดสินลงโทษอาชญากรได้ แต่ยังไม่ได้เปิดเผยข้อมูลมากนักเกี่ยวกับตัวตนของผู้โจมตีหรือรายละเอียดของการแฮ็ก
การสืบสวนของ Fortune ล่าสุด ซึ่งรวมถึงการตรวจสอบอีเมลระหว่าง Coinbase และแฮกเกอร์รายหนึ่ง เปิดเผยรายละเอียดใหม่เกี่ยวกับเหตุการณ์ดังกล่าว ซึ่งชี้ให้เห็นว่าเครือข่ายแฮกเกอร์หนุ่มสาวที่พูดภาษาอังกฤษอย่างไม่เปิดเผยก็มีส่วนรับผิดชอบด้วยเช่นกัน ในเวลาเดียวกัน ผลการค้นพบยังเน้นย้ำถึงสิ่งที่เรียกว่า BPO (หน่วยงานการเอาท์ซอร์สกระบวนการทางธุรกิจ) ซึ่งเป็นจุดอ่อนในการดำเนินงานด้านความปลอดภัยของบริษัทเทคโนโลยีอีกด้วย
อาชญากรรมภายใน: การเอาท์ซอร์สบริการลูกค้ากลายเป็นความก้าวหน้า
เรื่องราวเริ่มต้นด้วย TaskUs บริษัทเล็กๆ ที่จดทะเบียนในตลาดหลักทรัพย์ในเมืองนิวบราวน์เฟลส์ รัฐเท็กซัส เช่นเดียวกับ BPO อื่นๆ บริษัทนี้ให้บริการลูกค้าแก่บริษัทเทคโนโลยีขนาดใหญ่ด้วยต้นทุนต่ำ ด้วยการจ้างพนักงานในต่างประเทศ ในเดือนมกราคม TaskUs ได้เลิกจ้างพนักงาน 226 คนจากศูนย์บริการในเมืองอินดอร์ ประเทศอินเดีย เพื่อไปทำงานให้กับ Coinbase ตามที่โฆษกของบริษัทกล่าว
ตามเอกสารที่ยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา TaskUs ได้จัดหาเจ้าหน้าที่ฝ่ายบริการลูกค้าให้กับ Coinbase ตั้งแต่ปี 2017 ซึ่งเป็นความร่วมมือที่ช่วยให้ยักษ์ใหญ่ด้านคริปโตของสหรัฐฯ ประหยัดต้นทุนแรงงานได้อย่างมาก แต่ประเด็นอยู่ที่ว่า เมื่อลูกค้าส่งอีเมลมาสอบถามเกี่ยวกับบัญชีหรือผลิตภัณฑ์ใหม่ของ Coinbase พวกเขาอาจกำลังพูดคุยกับพนักงานของ TaskUs ในต่างประเทศ เนื่องจากตัวแทนเหล่านี้ได้รับเงินน้อยกว่าพนักงานชาวสหรัฐฯ จึงเสี่ยงต่อการติดสินบนมากกว่า
“เมื่อต้นปีนี้ เราได้ค้นพบว่ามีบุคคลสองคนเข้าถึงข้อมูลจากลูกค้าของเราอย่างผิดกฎหมาย” โฆษกของ TaskUs บอกกับ Fortune โดยอ้างถึง Coinbase “เราเชื่อว่าบุคคลเหล่านี้ถูกจ้างงานโดยกลุ่มอาชญากรที่มีโครงสร้างกว้างขวางขึ้น ซึ่งกำหนดเป้าหมายที่ Coinbase และส่งผลกระทบต่อผู้ขายรายอื่นๆ จำนวนมากที่ Coinbase ให้บริการ”
ตามเอกสารที่ยื่นต่อหน่วยงานกำกับดูแลของ Coinbase บริษัท TaskUs ได้ทำการเลิกจ้างพนักงานในเดือนมกราคมของปีนี้ ซึ่งน้อยกว่าหนึ่งเดือนหลังจากที่ Coinbase ค้นพบว่าข้อมูลลูกค้าถูกขโมยไป (หมายเหตุ: Coinbase ค้นพบการละเมิดข้อมูลในเดือนธันวาคม 2024) คดีฟ้องร้องแบบรวมกลุ่มของรัฐบาลกลางที่ยื่นต่อศาลในนิวยอร์กเมื่อวันอังคารในนามของลูกค้า Coinbase ระบุว่า TaskUs ประมาทเลินเล่อในการปกป้องข้อมูลของลูกค้า “แม้ว่าเราจะไม่สามารถแสดงความคิดเห็นเกี่ยวกับการดำเนินคดีได้ แต่เราเชื่อว่าข้อกล่าวหาเหล่านี้ไม่มีมูลความจริง และเราจะปกป้องตัวเอง” โฆษกของ TaskUs กล่าว “เราให้ความสำคัญสูงสุดกับการปกป้องข้อมูลของลูกค้าและยังคงเสริมสร้างโปรโตคอลความปลอดภัยระดับโลกและโปรแกรมการฝึกอบรมของเราอย่างต่อเนื่อง”
บุคคลที่คุ้นเคยกับเหตุการณ์ด้านความปลอดภัยรายหนึ่งกล่าวว่า แฮกเกอร์ยังสามารถโจมตีบริษัท BPO อื่นๆ สำเร็จอีกหลายแห่ง และลักษณะของข้อมูลที่ถูกขโมยไปก็แตกต่างกันไปในแต่ละเหตุการณ์
ข้อมูลที่ถูกขโมยไปนั้นไม่เพียงพอที่จะทำให้แฮกเกอร์สามารถเจาะเข้าไปในห้องนิรภัยคริปโตของ Coinbase ได้ แต่ข้อมูลเหล่านั้นก็ให้ข้อมูลมากมายที่ช่วยให้ผู้ทำอาชญากรรมแอบอ้างเป็นตัวแทนฝ่ายบริการลูกค้าของ Coinbase ปลอม ติดต่อลูกค้า และโน้มน้าวให้พวกเขาส่งมอบสินทรัพย์คริปโตให้กับพวกเขา บริษัทดังกล่าวระบุว่าแฮกเกอร์ขโมยข้อมูลของลูกค้าไปมากกว่า 69,000 ราย แต่ไม่ได้ระบุว่ามีกี่รายที่ตกเป็นเหยื่อของ การหลอกลวงทางวิศวกรรมสังคม ในกรณีนี้ การหลอกลวงทางวิศวกรรมสังคมเกี่ยวข้องกับอาชญากรที่ใช้ข้อมูลที่ขโมยมาเพื่อปลอมตัวเป็นพนักงาน Coinbase และโน้มน้าวเหยื่อให้โอนสินทรัพย์ดิจิทัลของตน
Coinbase กล่าวในแถลงการณ์ว่า ดังที่เราได้เปิดเผยไปแล้ว เราเพิ่งค้นพบว่าผู้ก่อภัยคุกคามได้ขอให้ฝ่ายบริการลูกค้าในต่างประเทศขอข้อมูลบัญชีลูกค้าย้อนหลังไปถึงเดือนธันวาคม 2024 เราได้แจ้งให้ผู้ใช้ที่ได้รับผลกระทบและหน่วยงานกำกับดูแลทราบแล้ว ตัดการติดต่อกับบุคลากรของ TaskUs และฝ่ายบริการลูกค้าในต่างประเทศอื่นๆ ที่เกี่ยวข้อง และเข้มงวดการควบคุมมากขึ้น นอกจากนี้แถลงการณ์ยังระบุด้วยว่าจะมีการจ่ายค่าชดเชยให้แก่ลูกค้าที่สูญเสียเงินจากการหลอกลวงครั้งนี้
การหลอกลวงทางวิศวกรรมสังคมโดยแอบอ้างเป็นตัวแทนของบริษัทไม่ใช่เรื่องใหม่ แต่การโจมตีของแฮกเกอร์ที่มุ่งเป้าไปที่บริษัท BPO นั้นพบได้น้อย แม้ว่าจะไม่มีใครสามารถระบุตัวผู้ก่อเหตุได้อย่างชัดเจน แต่เบาะแสส่วนใหญ่ชี้ไปที่กลุ่มแฮกเกอร์หนุ่มสาวที่พูดภาษาอังกฤษซึ่งหลุดกลุ่ม
แก๊งแฮกเกอร์วัยรุ่น: พวกเขามาจากวิดีโอเกม
ในช่วงไม่กี่วันหลังจากที่มีการเปิดเผยข้อมูลการละเมิดข้อมูลของ Coinbase ในช่วงกลางเดือนพฤษภาคม Fortune ได้พูดคุยกับชายที่เรียกตัวเองว่า “ปาร์ตี้สุดป่วน” บน Telegram และอ้างว่าเป็นหนึ่งในแฮ็กเกอร์
นักวิจัยด้านความปลอดภัยอีก 2 คนที่พูดคุยกับแฮกเกอร์ที่ไม่เปิดเผยตัวกล่าวกับ Fortune ว่าพวกเขาเชื่อว่าเขามีความน่าเชื่อถือ “ฉันได้พิจารณาคำกล่าวของเขาอย่างรอบคอบโดยอิงจากสิ่งที่เขาแบ่งปันกับฉัน และไม่สามารถหาหลักฐานที่บ่งบอกว่าคำกล่าวของเขานั้นเป็นเท็จได้” หนึ่งในผู้กล่าวกล่าว นักวิจัยทั้งสองขอให้ไม่เปิดเผยชื่อเนื่องจากเกรงว่าจะได้รับหมายศาลในการพูดคุยกับแฮกเกอร์ที่ถูกกล่าวหา
ในระหว่างการแลกเปลี่ยนข้อมูล ชายคนดังกล่าวได้แชร์ภาพหน้าจอจำนวนมากซึ่งเขาบอกว่าเป็นการแลกเปลี่ยนอีเมลกับทีมงานรักษาความปลอดภัยของ Coinbase ชื่อที่เขาใช้เมื่อสื่อสารกับ Coinbase คือ Lennard Schroeder เขายังได้แชร์ภาพหน้าจอบัญชีของอดีตผู้บริหาร Coinbase ที่แสดงธุรกรรมสกุลเงินดิจิทัลและรายละเอียดส่วนตัวมากมาย
Coinbase ไม่ปฏิเสธความถูกต้องของภาพหน้าจอ
อีเมลที่แชร์โดยแฮกเกอร์ที่ประกาศตัวเองมีการข่มขู่เรียกค่าเสียหายเป็น Bitcoin จำนวน 20 ล้านดอลลาร์ (ซึ่ง Coinbase ปฏิเสธที่จะจ่าย) รวมถึงความคิดเห็นเหน็บแนมว่ากลุ่มแฮกเกอร์จะใช้เงินที่ขโมยมาบางส่วนเพื่อซื้อผมให้กับ Brian Armstrong ซึ่งเป็น CEO ของบริษัทที่มีศีรษะล้าน “เรายินดีที่จะสนับสนุนการปลูกผมเพื่อให้เขาสามารถเดินทางไปรอบโลกได้อย่างมีสไตล์” แฮกเกอร์เขียน
ในข้อความของ Telegram บุคคลดังกล่าว (ซึ่ง Fortune ได้ทราบถึงการมีอยู่ของเขาจากนักวิจัยด้านความปลอดภัย) แสดงความไม่พอใจต่อ Coinbase
การโจรกรรมสกุลเงินดิจิทัลจำนวนมากดำเนินการโดยกลุ่มอาชญากรชาวรัสเซียหรือกองทหารเกาหลีเหนือ แต่การแฮ็กดังกล่าวถูกกล่าวหาว่าดำเนินการโดยกลุ่มพันธมิตรที่ไม่เปิดเผยตัวของวัยรุ่นและคนในวัย 20 ปีที่รู้จักกันในชื่อ Comm หรือ Com
รายงานของกลุ่ม Comm ปรากฏในรายงานสื่อต่างๆ เกี่ยวกับเหตุการณ์แฮ็กเกอร์ในช่วง 2 ปีที่ผ่านมา รวมถึงรายงานของ New York Times เมื่อต้นเดือนนี้ ซึ่งมีผู้ต้องสงสัยในคดีโจรกรรมสกุลเงินดิจิทัลหลายรายการระบุตัวตนว่าเป็นสมาชิกของกลุ่มดังกล่าว ในปี 2023 แฮกเกอร์ที่นักสืบระบุว่าเป็นกลุ่มดังกล่าวได้โจมตีคาสิโนออนไลน์หลายแห่งในลาสเวกัสและพยายามกรรโชกทรัพย์ 30 ล้านดอลลาร์จาก MGM Resorts ตามรายงานของ The Wall Street Journal
ไม่เหมือนกับแฮกเกอร์ชาวรัสเซียและเกาหลีเหนือ ที่มักจะมุ่งหวังแต่เงิน สมาชิกแก๊ง Comm มักจะแสวงหาทั้งความสนใจและความตื่นเต้นเร้าใจจากการสร้างความเดือดร้อน บางครั้งพวกเขาทำงานร่วมกันในการโจมตีแฮ็ก แต่พวกเขายังแข่งขันกันเองอีกด้วยว่าใครจะขโมยได้มากกว่ากัน
“พวกเขามาจากวิดีโอเกมและนำคะแนนสูงสุดของพวกเขามาใช้ในโลกแห่งความเป็นจริง” Josh Cooper-Duckett ผู้อำนวยการฝ่ายการสืบสวนของ Cryptoforensic Investigators ซึ่งเป็นบริษัทสืบสวนด้านนิติวิทยาศาสตร์ด้านคริปโต กล่าว “ในโลกนี้คะแนนของพวกเขาคือจำนวนเงินที่พวกเขาขโมยไป”
ในข้อความของ Telegram แฮกเกอร์ที่ถูกกล่าวหากล่าวว่าสมาชิกของ Comm มีความรับผิดชอบต่อเหตุการณ์การโจรกรรมในแง่มุมต่างๆ ด้วยกัน ทีมงานของเขาติดสินบนฝ่ายบริการลูกค้าและรวบรวมข้อมูลลูกค้า จากนั้นจึงส่งข้อมูลดังกล่าวให้กับบุคคลอื่นนอกทีมที่เชี่ยวชาญในการหลอกลวงทางวิศวกรรมสังคม พวกเขากล่าวเสริมว่ากลุ่มต่างๆ ที่เกี่ยวข้องกับ Comm ได้ประสานงานกันบนแพลตฟอร์มโซเชียล เช่น Telegram และ Discord เกี่ยวกับวิธีดำเนินการในส่วนต่างๆ ของปฏิบัติการและแบ่งปันเงินที่ขโมยมา
Sergio Garcia ผู้ก่อตั้งบริษัทสืบสวนด้านสกุลเงินดิจิทัล Tracelon บอกกับ Fortune ว่าคำอธิบายของแฮกเกอร์เกี่ยวกับการโจมตี Coinbase สอดคล้องกับการสังเกตของเขาเกี่ยวกับการทำงานของกลุ่ม Comm และการฉ้อโกงทางวิศวกรรมสังคมเกี่ยวกับสกุลเงินดิจิทัลอื่นๆ บุคคลที่โจมตีลูกค้าด้วยการหลอกลวงทางวิศวกรรมสังคมเมื่อเร็วๆ นี้ พูดภาษาอังกฤษแบบอเมริกาเหนือแท้ๆ ตามที่แหล่งข่าวใกล้ชิดกับเรื่องดังกล่าวเปิดเผย
จากแหล่งข่าวที่มีความรู้เกี่ยวกับเงินเดือนของพนักงาน BPO ระบุว่า พนักงานของ TaskUs ในอินเดียมีรายได้ระหว่าง 500 ถึง 700 ดอลลาร์ต่อเดือน TaskUs ปฏิเสธที่จะแสดงความคิดเห็น แม้ว่าตัวเลขดังกล่าวจะสูงกว่า GDP ต่อหัวของอินเดีย แต่ค่าจ้างที่ต่ำของพนักงานบริการลูกค้ามักทำให้พวกเขารับสินบนได้มากกว่า การ์เซียบอกกับนิตยสาร Fortune “เห็นได้ชัดว่านั่นคือจุดที่อ่อนแอที่สุดในห่วงโซ่ เพราะพวกเขามีแรงจูงใจทางการเงินที่จะรับสินบน” เขากล่าวเสริม
