Tác giả gốc: Ben Weiss, Jeff John Roberts
Bản dịch gốc: Luffy, Foresight News
Nhà đồng sáng lập và giám đốc điều hành của Coinbase, Brian Armstrong phát biểu tại một sự kiện ở Bengaluru, Ấn Độ, năm 2022
Vào ngày 15 tháng 5 năm 2025, Coinbase tiết lộ rằng dữ liệu cá nhân của hàng chục nghìn khách hàng đã bị đánh cắp, đây là sự cố bảo mật lớn nhất trong lịch sử công ty và ước tính sẽ gây ra thiệt hại lên tới 400 triệu đô la. Vụ vi phạm dữ liệu này đáng chú ý không chỉ vì quy mô của nó mà còn vì phương pháp tấn công của tin tặc: hối lộ nhân viên dịch vụ khách hàng ở nước ngoài để lấy thông tin mật của khách hàng.
Coinbase đã công khai tuyên bố sẽ trả phần thưởng 20 triệu đô la cho những người tố giác cung cấp thông tin dẫn đến việc bắt giữ và kết án tội phạm, nhưng lại tiết lộ rất ít về danh tính của những kẻ tấn công hoặc thông tin chi tiết về vụ hack.
Một cuộc điều tra gần đây của Fortune, bao gồm việc xem xét các email giữa Coinbase và một trong những tin tặc, đã tiết lộ những chi tiết mới về vụ việc, cho rằng một mạng lưới tin tặc trẻ tuổi nói tiếng Anh phải chịu một phần trách nhiệm. Đồng thời, những phát hiện này cũng nhấn mạnh cái gọi là BPO (đơn vị gia công quy trình kinh doanh) là một mắt xích yếu trong hoạt động bảo mật của các công ty công nghệ.
Tội phạm nội gián: Thuê ngoài dịch vụ khách hàng trở thành bước đột phá
Câu chuyện bắt đầu với TaskUs, một công ty đại chúng nhỏ có trụ sở tại New Braunfels, Texas. Giống như các công ty BPO khác, công ty cung cấp dịch vụ khách hàng cho các công ty công nghệ lớn với chi phí thấp bằng cách thuê nhân viên ở nước ngoài. Vào tháng 1, TaskUs đã sa thải 226 nhân viên tại trung tâm dịch vụ ở Indore, Ấn Độ, để làm việc cho Coinbase, theo người phát ngôn của công ty.
Theo các tài liệu nộp lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ, TaskUs đã cung cấp nhân viên dịch vụ khách hàng cho Coinbase kể từ năm 2017, một quan hệ đối tác giúp gã khổng lồ tiền điện tử của Hoa Kỳ tiết kiệm đáng kể chi phí lao động. Nhưng vấn đề ở đây là: Khi khách hàng gửi email để hỏi về tài khoản hoặc sản phẩm mới của Coinbase, rất có thể họ đang nói chuyện với một nhân viên của TaskUs ở nước ngoài. Vì những nhân viên này được trả lương thấp hơn nhân viên Hoa Kỳ nên họ dễ bị hối lộ hơn.
“Đầu năm nay, chúng tôi phát hiện ra rằng hai cá nhân đã truy cập trái phép thông tin từ một trong những khách hàng của chúng tôi”, người phát ngôn của TaskUs nói với Fortune, ám chỉ Coinbase. “Chúng tôi tin rằng những cá nhân này được một tổ chức tội phạm có quy mô lớn hơn tuyển dụng nhằm vào Coinbase và ảnh hưởng đến nhiều nhà cung cấp khác mà Coinbase cung cấp dịch vụ.”
Theo hồ sơ nộp lên cơ quan quản lý của Coinbase, TaskUs đã sa thải nhân viên vào tháng 1 năm nay, chưa đầy một tháng sau khi Coinbase phát hiện dữ liệu khách hàng đã bị đánh cắp (Lưu ý: Coinbase phát hiện ra vụ vi phạm dữ liệu vào tháng 12 năm 2024). Một vụ kiện tập thể liên bang được đệ trình tại New York vào thứ Ba thay mặt cho khách hàng của Coinbase cáo buộc TaskUs đã cẩu thả trong việc bảo vệ dữ liệu khách hàng. Người phát ngôn của TaskUs cho biết: Mặc dù chúng tôi không thể bình luận về vụ kiện tụng, nhưng chúng tôi tin rằng những cáo buộc này là vô căn cứ và chúng tôi sẽ tự bảo vệ mình. Chúng tôi ưu tiên hàng đầu cho việc bảo vệ dữ liệu khách hàng và tiếp tục tăng cường các giao thức bảo mật toàn cầu và chương trình đào tạo.
Một người hiểu rõ về sự cố bảo mật cho biết tin tặc cũng đã tấn công thành công một số công ty BPO khác và bản chất dữ liệu bị đánh cắp khác nhau trong mỗi vụ việc.
Dữ liệu bị đánh cắp không đủ để tin tặc đột nhập vào kho tiền điện tử của Coinbase, nhưng nó cung cấp rất nhiều thông tin giúp tội phạm đóng giả làm nhân viên dịch vụ khách hàng giả của Coinbase, liên hệ với khách hàng và thuyết phục họ giao nộp tài sản tiền điện tử của mình. Công ty cho biết tin tặc đã đánh cắp dữ liệu của hơn 69.000 khách hàng, nhưng không nói rõ có bao nhiêu người trong số họ trở thành nạn nhân của cái gọi là lừa đảo kỹ thuật xã hội. Trong trường hợp này, trò lừa đảo kỹ thuật xã hội liên quan đến việc tội phạm sử dụng dữ liệu bị đánh cắp để mạo danh nhân viên Coinbase và thuyết phục nạn nhân chuyển tài sản tiền điện tử của họ.
Coinbase cho biết trong một tuyên bố: Như chúng tôi đã tiết lộ, chúng tôi mới phát hiện ra rằng một tác nhân đe dọa đã yêu cầu bộ phận dịch vụ khách hàng ở nước ngoài lấy thông tin tài khoản khách hàng có từ tháng 12 năm 2024. Chúng tôi đã thông báo cho người dùng bị ảnh hưởng và các cơ quan quản lý, cắt đứt liên lạc với nhân viên TaskUs và các bộ phận dịch vụ khách hàng ở nước ngoài khác có liên quan, đồng thời tăng cường kiểm soát. Tuyên bố này cũng cho biết thêm rằng sẽ bồi thường cho những khách hàng bị mất tiền trong vụ lừa đảo.
Những vụ lừa đảo bằng kỹ thuật xã hội mạo danh đại diện công ty không phải là mới, nhưng quy mô các cuộc tấn công của tin tặc nhắm vào các công ty BPO lại rất hiếm. Mặc dù chưa ai xác định được thủ phạm, nhưng có nhiều manh mối chỉ ra đây là một nhóm tin tặc trẻ tuổi nói tiếng Anh.
Nhóm hacker tuổi teen: Họ đến từ trò chơi điện tử
Vào những ngày sau khi vụ rò rỉ dữ liệu của Coinbase được tiết lộ vào giữa tháng 5, tạp chí Fortune đã trò chuyện trên Telegram với một người đàn ông tự xưng là puffy party, người này tự nhận là một trong những tin tặc.
Hai nhà nghiên cứu bảo mật khác đã nói chuyện với tin tặc ẩn danh này nói với Fortune rằng họ tin anh ta là người đáng tin cậy. Tôi đã cân nhắc kỹ lưỡng những tuyên bố của anh ấy dựa trên những gì anh ấy chia sẻ với tôi và không thể tìm thấy bằng chứng nào cho thấy những tuyên bố đó là sai sự thật, một trong số họ cho biết. Cả hai nhà nghiên cứu đều yêu cầu giấu tên vì họ sợ nhận được trát hầu tòa khi nói chuyện với tin tặc bị cáo buộc.
Trong quá trình trao đổi, người đàn ông này đã chia sẻ nhiều ảnh chụp màn hình về những gì anh ta nói là trao đổi email với nhóm bảo mật của Coinbase. Tên anh ta sử dụng khi giao tiếp với Coinbase là Lennard Schroeder. Anh ấy cũng chia sẻ ảnh chụp màn hình tài khoản của một cựu giám đốc điều hành Coinbase, trong đó hiển thị các giao dịch tiền điện tử và rất nhiều thông tin cá nhân.
Coinbase không phủ nhận tính xác thực của các ảnh chụp màn hình.
Email được chia sẻ bởi tin tặc tự xưng này bao gồm lời đe dọa tống tiền 20 triệu đô la bằng Bitcoin (Coinbase đã từ chối trả), cũng như bình luận mỉa mai rằng nhóm tin tặc sẽ sử dụng một số tiền đánh cắp được để mua tóc cho giám đốc điều hành hói của công ty, Brian Armstrong. Chúng tôi sẵn sàng tài trợ cho việc cấy tóc để anh ấy có thể đi du lịch vòng quanh thế giới một cách sành điệu, tin tặc viết.
Trong tin nhắn Telegram, cá nhân này (mà Fortune biết đến thông qua một nhà nghiên cứu bảo mật) đã bày tỏ sự khinh thường đối với Coinbase.
Nhiều vụ trộm tiền điện tử được thực hiện bởi các băng nhóm tội phạm Nga hoặc quân đội Triều Tiên, nhưng vụ hack này được cho là do một liên minh lỏng lẻo gồm những thanh thiếu niên và những người ngoài 20 tuổi được gọi là Comm hoặc Com.
Các báo cáo về nhóm Comm đã xuất hiện trong các bản tin truyền thông về các vụ tấn công mạng khác trong hai năm qua, bao gồm một báo cáo của tờ New York Times đầu tháng này trong đó một nghi phạm trong một loạt vụ trộm tiền điện tử đã tự nhận mình là thành viên của nhóm. Theo The Wall Street Journal, vào năm 2023, các nhà điều tra xác định nhóm tin tặc này đã tấn công một số sòng bạc trực tuyến ở Las Vegas và cố gắng tống tiền MGM Resorts 30 triệu đô la.
Không giống như tin tặc tiền điện tử người Nga và Bắc Triều Tiên, những kẻ thường chỉ nhắm đến tiền, các thành viên băng đảng Comm thường tìm kiếm sự chú ý và cảm giác thích thú khi phá phách. Đôi khi họ hợp tác tấn công mạng, nhưng cũng cạnh tranh với nhau để xem ai có thể đánh cắp được nhiều hơn.
Josh Cooper-Duckett, giám đốc điều tra tại Cryptoforensic Investigators, một công ty điều tra pháp y mật mã, cho biết: Họ đến từ trò chơi điện tử và mang điểm số cao của mình vào thế giới thực. “Trong thế giới này, điểm số của họ là số tiền họ đã đánh cắp.”
Trong tin nhắn Telegram, tin tặc bị cáo buộc cho biết các thành viên của Comm chịu trách nhiệm cho nhiều khía cạnh khác nhau của vụ trộm. Nhóm của anh ta đã hối lộ bộ phận chăm sóc khách hàng và thu thập dữ liệu khách hàng, sau đó chuyển dữ liệu cho những người khác bên ngoài nhóm, những người thành thạo các vụ lừa đảo kỹ thuật xã hội. Họ nói thêm rằng nhiều nhóm liên kết với Comm đã phối hợp trên các nền tảng xã hội như Telegram và Discord để thực hiện các phần khác nhau của hoạt động và phân chia số tiền đánh cắp được.
Sergio Garcia, người sáng lập công ty điều tra tiền điện tử Tracelon, nói với Fortune rằng mô tả của tin tặc về cuộc tấn công Coinbase trùng khớp với quan sát của ông về cách thức hoạt động của băng đảng Comm và các vụ lừa đảo kỹ thuật xã hội tiền điện tử khác. Theo những người hiểu rõ vấn đề, kẻ vừa tấn công khách hàng bằng hình thức lừa đảo kỹ thuật xã hội nói tiếng Anh Bắc Mỹ chuẩn mực.
Theo một nguồn tin hiểu biết về mức lương của nhân viên BPO, nhân viên TaskUs tại Ấn Độ kiếm được từ 500 đến 700 đô la một tháng. TaskUs từ chối bình luận. Garcia nói với tạp chí Fortune rằng mặc dù con số đó cao hơn GDP bình quân đầu người của Ấn Độ, nhưng mức lương thấp của nhân viên dịch vụ khách hàng thường khiến họ dễ nhận hối lộ hơn. “Rõ ràng, đó là mắt xích yếu nhất trong chuỗi vì họ có động cơ tài chính để nhận hối lộ”, ông nói thêm.
