原文作者:Ben Weiss、Jeff John Roberts
原文編譯:Luffy,Foresight News
Coinbase 聯合創始人兼執行長Brian Armstrong 於2022 年在印度班加羅爾的活動上發表講話
2025 年5 月15 日,Coinbase 揭露其數萬名客戶的個人資料遭竊取,這是該公司史上最大的安全事件,預計將造成高達4 億美元的損失。這次資料外洩不僅因其規模引人注目,更在於駭客的攻擊手段:賄賂海外客戶客服人員以獲取機密客戶資訊。
Coinbase 公開表示將向提供線索、幫助犯罪者被捕和定罪的舉報人支付2000 萬美元獎金,但對於攻擊者身分或駭客攻擊細節卻披露甚少。
《財星》雜誌最近的一項調查(包括查閱Coinbase 與一名駭客之間電子郵件)揭示了該事件的新細節,暗示一個由說英語的年輕駭客組成的鬆散網路是部分責任方。同時,調查結果也凸顯了所謂的BPO(業務流程外包單位)是科技公司安全營運的弱點。
內鬼犯案:外包客服成為突破口
故事始於德克薩斯州紐布朗費爾斯的一家小型上市公司TaskUs。與其他BPO 一樣,該公司透過僱用海外員工以低成本為大型科技公司提供客戶服務。據該公司發言人透露,今年1 月,TaskUs 從其位於印度印多爾的服務中心解雇了226 名員工為Coinbase 工作。
根據向美國證券交易委員會提交的文件,自2017 年以來,TaskUs 一直為Coinbase 提供客戶服務人員,這種合作關係為這家美國加密巨頭節省了大量勞動力成本。但問題在於:當客戶發送電子郵件詢問其帳戶或Coinbase 新產品時,他們很可能會與海外的TaskUs 員工交談。由於這些代理的薪水低於美國本土員工,他們更容易被賄賂。
「今年早些時候,我們發現兩名個人非法訪問了我們一個客戶的信息,」TaskUs 發言人在提及Coinbase 時告訴《財富》雜誌,「我們認為這兩人是受僱於一場針對Coinbase 的更廣泛、有組織的犯罪活動,該活動還影響了Coinbase 提供服務的許多其他供應商。」
根據Coinbase 的監管文件,TaskUs 在今年1 月解僱員工,距離Coinbase 發現客戶資料被盜不到一個月(註:Coinbase 在2024 年12 月就發現了資料外洩)。週二,在紐約代表Coinbase 客戶提起的聯邦集體訴訟指控TaskUs 在保護客戶資料方面存在疏忽。 「雖然我們無法對訴訟發表評論,但我們認為這些指控沒有根據,我們將為自己辯護,」TaskUs 發言人表示,「我們將保護客戶資料置於最高優先級,並將繼續加強我們的全球安全協議和培訓計劃。」
一位了解該安全事件的知情人士表示,駭客還成功攻擊了一些其他BPO 公司,而且每次事件中被盜資料的性質各不相同。
這些被盜資料不足以讓駭客闖入Coinbase 的加密金庫,但確實提供了豐富的信息,幫助犯罪分子偽裝成虛假的Coinbase 客服,聯繫客戶並說服他們交出加密資產。該公司表示,駭客竊取了超過6.9 萬名客戶的數據,但未說明其中有多少人成為所謂「社會工程騙局」 的受害者。本案中,社會工程騙局涉及犯罪者利用被盜資料冒充Coinbase 員工,說服受害者轉移其加密資產。
Coinbase 在一份聲明中表示:「正如我們已經披露的那樣,我們最近發現一個威脅行為者曾要求海外客服獲取可追溯至2024 年12 月的客戶帳戶信息。我們已通知受影響的用戶和監管機構,切斷了與涉案TaskUs 人員和其他海外客服的聯繫,並加強了管控。」聲明書報正在賠償。”
冒充公司代表進行的社會工程詐騙並不新鮮,但駭客針對BPO 公司進行攻擊的規模頗為罕見。雖然尚未有人明確指認犯罪者,但一些線索強烈指向一個由講英語的年輕駭客組成的鬆散組織。
青少年駭客團體:「它們來自電子遊戲」
在5 月中旬Coinbase 資料外洩事件披露後的幾天裡,《財星》雜誌在Telegram 上與一名自稱「puffy party」 的男子進行了交流,他聲稱自己是駭客之一。
另外兩名與這名匿名駭客交談的安全研究人員告訴《財星》雜誌,他們認為此人可信。其中一人說:「根據他與我分享的內容,我認真推敲過他的陳述,並且無法找到證據證明他的陳述是虛假的。」兩名研究人員都要求匿名,因為他們擔心因與所謂的黑客交談而收到傳票。
在交流中,該名男子分享了許多截圖,稱這些是與Coinbase 安全團隊的電子郵件往來。他與Coinbase 溝通時使用的名字是「Lennard Schroeder」。他還分享了一個屬於Coinbase 前高管的帳戶截圖,其中顯示了加密交易和大量個人詳細資料。
Coinbase 並沒有否認這些截圖的真實性。
這名自稱駭客分享的電子郵件包括以2000 萬美元比特幣進行勒索的威脅(Coinbase 拒絕支付),以及關於黑客團夥將用部分贓物為該公司光頭CEO Brian Armstrong 購買頭髮的嘲諷評論。 「我們願意贊助植髮手術,讓他可以瀟灑地環遊世界,」 駭客寫道。
在Telegram 訊息中,此人(《財富》雜誌從一名安全研究人員得知其存在)表達了對Coinbase 的蔑視。
許多加密貨幣搶劫案是由俄羅斯犯罪集團或北韓軍方實施的,但據稱這次駭客是由一群被稱為“Comm” 或“Com”的青少年和20 多歲年輕人組成的鬆散聯盟所為。
在過去兩年中,關於Comm 團伙的報道出現在其他駭客事件的媒體報道中,包括《紐約時報》本月早些時候的一篇報道,其中一名涉嫌實施一系列加密貨幣盜竊的嫌疑人自稱是該組織成員。根據《華爾街日報》報道, 2023 年,調查人員認定為該組織的駭客攻擊了拉斯維加斯幾家線上運營的賭場,並試圖向米高梅度假村勒索3000 萬美元。
與通常只追求金錢的俄羅斯和北韓加密駭客不同,Comm 幫派成員往往既想引起注意,又追求惡作劇的快感。他們有時會合作進行駭客攻擊,但也會互相競爭,看誰偷得更多。
「他們來自電子遊戲,然後把高分帶到現實世界,」加密取證調查公司Cryptoforensic Investigators 調查總監 Josh Cooper-Duckett 說,「在這個世界裡,他們的分數就是偷了多少錢。」
在Telegram 訊息中,這名所謂的駭客表示,Comm 的成員專門負責搶劫的不同環節。他的團隊賄賂客服並收集客戶數據,然後將數據交給團隊外精通社會工程騙局的其他人。他們補充說,不同的Comm 附屬團體在Telegram 和Discord 等社交平台上協調如何執行行動的不同部分,並分配贓物。
加密調查公司Tracelon 的創辦人Sergio Garcia 告訴《財富》雜誌,駭客對Coinbase 攻擊的描述與他對Comm 團夥運作方式和其他加密社會工程騙局的觀察相符。知情人士稱,最近在社會工程騙局中攻擊客戶的人說著一口道地的北美英語。
據一位了解BPO 員工薪資的消息人士透露,印度TaskUs 員工的月薪在500 至700 美元之間。 TaskUs 拒絕置評。 Garcia 告訴《財星》雜誌,儘管這個數字高於印度的人均國內生產毛額,但客服的低薪往往使他們更容易接受賄賂。 「顯然,這是鏈條中最薄弱的環節,因為他們有經濟動機接受賄賂,」 他補充道。
