Coinbase était au courant du lien avec la fuite de données de 400 millions de dollars dès janvier, selon des sources

Selon une enquête de Reuters, Coinbase a été informée dès janvier 2025 d'une faille de sécurité impliquant des agents de support client externalisés en Inde. Six personnes au fait du dossier ont indiqué au rapport que la plateforme d'échange de cryptomonnaies savait que des données sensibles d'utilisateurs avaient été compromises via son sous-trac, TaskUs, plusieurs mois avant son annonce officielle en mai.

Dans un document déposé auprès de la SEC le 14 mai, TaskUs a décrit une partie de la faille de sécurité au cours de laquelle une employée basée en Inde a été surprise en train de photographier l'écran de l'ordinateur de l'entreprise avec son téléphone personnel. Cinq anciens employés de TaskUs ont confirmé que cette employée et un complice présumé auraient été soudoyés par des pirates informatiques pour obtenir des données d'utilisateurs de Coinbase.

Coinbase a été immédiatement alertée, selon trois employés et une autre source . Peu après, plus de 200 employés du centre TaskUs d'Indore ont été licenciés, provoquant l'attention des médias indiens. Coinbase a d'abord imputé la faute à des « agents de support à l'étranger », mais estime désormais que la faille de sécurité pourrait lui coûter jusqu'à 400 millions de dollars.

Au cœur de la campagne visant à exploiter le réseau BPO de Coinbase

Coinbase s'était longtemps associée à TaskUs, une société d'externalisation basée au Texas, afin de réduire ses coûts de main-d'œuvre en confiant le support client à des équipes offshore. Depuis 2017, les agents de TaskUs traitaient les demandes des clients de Coinbase, souvent depuis des pays où les salaires sont plus bas. À Indore, en Inde, ces agents auraient gagné entre 500 et 700 dollars par mois, un salaire suffisamment faible pour laissertracdes cas de corruption.

Dans son rapport de mai, Coinbase a admis n'avoir pris conscience de l'ampleur de l'attaque que le 11 mai, date à laquelle elle a reçu une demande d'extorsion de 20 millions de dollars. En réponse, l'entreprise a rompu ses liens avec les employés de TaskUs responsables de la violation de données, ainsi qu'avec d'autres sous-tracétrangers non identifiés. Coinbase a également indiqué avoir informé les autorités de régulation, remboursé les utilisateurs concernés et renforcé ses contrôles internes.

Dans sa déclaration publique, TaskUs a reconnu avoir licencié deux employés pour vol de données, sans toutefois nommer Coinbase. L'entreprise a indiqué que ces deux personnes faisaient partie d'une campagne criminelle coordonnée qui avait également touché d'autres prestataires de services liés au client.

Des pirates informatiques ont utilisé l'ingénierie sociale pour tromper les utilisateurs de Coinbase

Les portefeuilles crypto de Coinbase n'ont pas été directement compromis lors de l'attaque. Les pirates ont plutôt utilisé les informations personnelles volées pour usurper l'identité d'employés de Coinbase et lancer une série d'escroqueries par ingénierie sociale. Se faisant passer pour des agents du service client, ils ont incité leurs victimes à transférer leurs actifs crypto.

Des experts en sécurité pensent qu'un groupe informel surnommé « The Comm » est à l'origine de l'attaque. Ce groupe est composé de jeunes pirates informatiques expérimentés dans la conduite d'attaques de grande envergure, ayant notamment ciblé des casinos et des entreprises de cryptomonnaies.

Un article de Fortune indiquait également que les pirates informatiques avaient des rôles distincts pour leurs membres : certains corrompaient des employés pour voler des données, tandis que d’autres exécutaient les escroqueries. Des plateformes de médias sociaux comme Telegram et Discord servaient à coordonner les opérations et à se partager le butin.

Les enquêteurs ont constaté que les usurpations d'identité étaient plus efficaces lorsque les auteurs s'adressant aux clients de Coinbase parlaient couramment l'anglais nord-américain. Les escrocs parvenaient à utiliser les informations volées pour paraître suffisamment crédibles et inciter les utilisateurs à leur remettre leurs cryptomonnaies.

Malgré la faille de sécurité, Coinbase intensifie ses activités. L'entreprise a récemment intégré l'indice S&P 500 et annoncé une acquisition stratégique. Son PDG, Brian Armstrongtrona réaffirmé son ambition de faire de Coinbase une application de services financiers de premier plan à l'échelle mondiale d'ici dix ans.

L'attaque contre Coinbase survient dans un contexte de forte croissance des piratages de cryptomonnaies , qui devraient dépasser les 2,2 milliards de dollars d'ici 2024, selon Chainalysis, soulignant les dangers de l'externalisation et la sophistication numérique accrue des attaquants.