Компания Coinbase Global Inc., крупнейшая криптовалютная биржа в США, сообщила о том, что в декабре 2024 года в результате утечки данных была скомпрометирована конфиденциальная личная информация 69 461 пользователя.
Компания раскрыла масштабы атаки в заявлении, поданном во вторник в Генеральную прокуратуру штата Мэн, спустя несколько недель после подтверждения того, что киберпреступники потребовали выкуп в размере 20 миллионов долларов, чтобы предотвратить публикацию украденных данных в даркнете.
По имеющимся данным, хакерская атака затронула менее 1% глобальной пользовательской базы компании, но спровоцировала многочисленные федеральные расследования и судебные иски по поводу того, как компания отреагировала на атаку.
По данным компании и источников, знакомых с ситуацией, злоумышленники использовали методы социальной инженерии для проникновения во внутренние системы Coinbase. Целью атак были сотрудники криптовалютной биржи, в частности, агенты службы поддержки клиентов, работающие за пределами США, а не использование технических уязвимостей.
Компания Coinbase заявила, что представители, работающие в Индии, получали взятки cash в обмен на доступ к внутренним инструментам и информации о клиентах. Компрометированные данные включают имена, адреса, гражданство, номера удостоверений личности, выданных государственными органами, даты рождения и банковскую информацию.
данным, позволяющим идентифицировать клиента (KYC) . Coinbase подтвердила, что пароли, закрытые ключи и средства пользователей не пострадали, но специалисты по кибербезопасности и пользователи опасаются, что эта информация может быть использована для кражи личных данных и выдачи себя за другое лицо dent
Отклоненные требования о выкупе и реакция регулирующих органов
Компания Coinbase сообщила, что первое требование о выкупе поступило по анонимному электронному письму 11 мая, спустя несколько месяцев после первоначальной кражи данных, произошедшей 26 декабря. Преступники угрожали криптовалютной бирже публикацией украденной информации в даркнете, если компания не заплатит 20 миллионов долларов.
В своем публичном заявлении Coinbase сообщила, что злоумышленники начали сбор пользовательских данных, используя уязвимости в работе агентов службы поддержки, находящихся за рубежом, за несколько месяцев до отправки запроса на выкуп. Весь персонал, причастный к взлому, был уволен.
Власти Вашингтона расследуют взлом в рамках уголовного расследования, инициированного Министерством юстиции США. Coinbase продолжает настаивать на полном сотрудничестве со всеми соответствующими правоохранительными органами внутри страны и за рубежом.
Критика в связи с задержкой в раскрытии информации
Во вторник американский инвестор и основатель TechCrunch Майкл Аррингтон осудил компанию за задержку с информированием общественности. На платформе социальных сетей X Аррингтон заявил своим подписчикам, что человеческие жертвы, которые могут последовать за такой утечкой личных данных, «выражены в страданиях»
« Вероятно, это уже причинило вред », — объяснил Аррингтон. « Человеческие потери намного превышают те 400 миллионов долларов, которые, по их мнению, компании придется выплатить пострадавшим ».
Аррингтон использовал этотdent , чтобы раскритиковать существующие правила KYC (Know Your Customer — «Знай своего клиента»), назвав их неэффективными и опасными. Он утверждал, что эти законы в сочетании с корпоративным сокращением расходов и мягкими штрафами за утечки данных создают условия, благоприятные для злоупотреблений.
«И правительствам, и корпорациям необходимо активизироваться, чтобы остановить это. Цена этого может быть измерена только человеческими страданиями», — заключил он.
Я давний инвестор и сторонник @coinbase . Однако нужно сказать одно: этот взлом, в результате которого были взломаны домашние адреса и балансы счетов, приведет к гибели людей. Вероятно, это уже произошло. Человеческие потери, выраженные в страданиях, намного превышают 400 миллионов долларов… pic.twitter.com/ruSYKAGH7x
— Майкл Аррингтон 🏴☠️ (@arrington) 19 мая 2025 г.
По оценкам Coinbase, общие финансовые потери от утечки данных могут составить от 180 до 400 миллионов долларов, включая компенсацию клиентам и меры по устранению последствий.
Майк Дудас , управляющий партнер венчурной компании 6MV, специализирующейся на веб-технологиях, считает, что он может оказаться среди тех, кто станет мишенью хакеров. « Это масштабная утечка данных, объем предоставленной личной информации ошеломляет », — заявил Дудас журналистам. Он подчеркнул, что последствия могут выходить за рамки dent личных данных, и хакеры могут попытаться запугать криптоинвесторов и руководителей компаний.
