Coinbase era a conoscenza del collegamento alla fuga di dati da 400 milioni di dollari già a gennaio, affermano le fonti

Secondo un'indagine di Reuters, Coinbase è stata informata già a gennaio 2025 di una violazione che ha coinvolto agenti di assistenza clienti esternalizzati in India. Sei persone a conoscenza della questione hanno dichiarato al rapporto che l'exchange di criptovalute era a conoscenza della compromissione di dati sensibili degli utenti tramite il suotrac, TaskUs, mesi prima del suo annuncio ufficiale di maggio.

In un documento depositato presso la SEC il 14 maggio, TaskUs ha documentato una parte della violazione in cui una dipendente di TaskUs, con sede in India, è stata sorpresa a scattare foto dello schermo del computer aziendale con il suo telefono personale. Cinque ex dipendenti di TaskUs hanno confermato che la dipendente e un presunto complice sarebbero stati corrotti dagli hacker per ottenere i dati degli utenti di Coinbase.

Coinbase è stata immediatamente allertata, secondo quanto riferito da tre dipendenti e da un'altra fonte . Poco dopo, oltre 200 dipendenti sono stati licenziati dal centro TaskUs di Indore, attirando l'attenzione dei media in India. Inizialmente, Coinbase ha attribuito la responsabilità ad "agenti di supporto all'estero", ma ora stima che la violazione potrebbe costare all'azienda fino a 400 milioni di dollari.

All'interno della campagna per sfruttare la rete BPO di Coinbase

Coinbase collabora da tempo con TaskUs, un'azienda di outsourcing con sede in Texas, per ridurre i costi del lavoro assegnando le attività di assistenza clienti a team offshore. Dal 2017, gli agenti di TaskUs hanno gestito le richieste dei clienti di Coinbase, spesso provenienti da paesi con salari più bassi. A Indore, in India, questi agenti guadagnavano tra i 500 e i 700 dollari al mese, una cifra sufficientemente bassa da attiraretraccriminali.

Nella documentazione depositata a maggio, Coinbase ha ammesso di non essere a conoscenza della reale portata dell'attacco fino all'11 maggio, quando ha ricevuto una richiesta di estorsione da 20 milioni di dollari. In risposta, l'azienda ha interrotto i rapporti con i dipendenti di TaskUs responsabili della violazione, nonché con altritracstranieri non identificati. Coinbase ha inoltre affermato di aver informato le autorità di regolamentazione, rimborsato gli utenti interessati e rafforzato i propri controlli interni.

Nella sua dichiarazione pubblica, TaskUs ha ammesso di aver licenziato due dipendenti per furto di dati, ma non ha fatto il nome di Coinbase. L'azienda ha affermato che i due facevano parte di una campagna criminale coordinata che aveva colpito altri fornitori di servizi legati al cliente.

Gli hacker hanno utilizzato l'ingegneria sociale per ingannare gli utenti di Coinbase

I wallet di criptovalute di Coinbase non sono stati violati direttamente durante l'attacco. Gli hacker hanno invece utilizzato le informazioni personali rubate per impersonare i dipendenti di Coinbase in un'ondata di truffe di ingegneria sociale. Si spacciavano per agenti di supporto, inducendo le vittime a trasferire i propri asset crittografici.

Gli esperti di sicurezza ritengono che la violazione sia stata orchestrata da un gruppo poco organizzato, noto come "the Comm". Il gruppo è composto da giovani hacker esperti in attacchi di alto profilo, tra cui quelli ai danni di casinò e aziende di criptovalute.

Un report di Fortune ha inoltre affermato che gli hacker avevano ruoli diversi all'interno del gruppo: alcuni corrompevano persone interne all'azienda per rubare dati, mentre altri mettevano in atto le truffe. Piattaforme di social media come Telegram e Discord venivano utilizzate per coordinare le operazioni e spartire i proventi.

Gli investigatori hanno notato che i tentativi di impersonificazione erano più efficaci perché i truffatori che prendevano di mira i clienti di Coinbase parlavano fluentemente un inglese nordamericano. I truffatori riuscivano a sfruttare le informazioni rubate per apparire sufficientemente credibili da convincere gli utenti a consegnare le loro criptovalute.

Anche dopo la violazione dei dati, Coinbase sta intensificando le sue attività. L'azienda è stata recentemente inclusa nell'indice S&P 500 e ha annunciato un'acquisizione strategica. Il CEO Brian Armstrongtrondichiarato di voler comunque rendere Coinbase un'app leader a livello globale nel settore dei servizi finanziari entro i prossimi 10 anni.

L'attacco a Coinbase si verifica in un contesto di forte crescita degli attacchi hacker alle criptovalute , che secondo Chainalysis hanno superato i 2,2 miliardi di dollari entro il 2024, evidenziando i pericoli dell'esternalizzazione e la crescente sofisticazione digitale degli hacker.