Coinbase 披露 2024 年 12 月數據盜竊事件影響了 69,461 名用戶

美國最大的加密貨幣交易所 Coinbase Global Inc. 透露，2024 年 12 月發生數據洩露事件，洩露了 69,461 名用戶的敏感個人信息。

該公司在一份聲明中披露了攻擊範圍備案緬因州總檢察長辦公室於週二證實，網絡犯罪分子索要 2000 萬美元贖金，以防止被盜數據在暗網上發布。

據報導，此次黑客攻擊影響了該公司全球不到 1% 的用戶，但卻引發了多項聯邦調查和多起針對其處理攻擊方式的訴訟。

賄賂和社會工程導致了違規行為

據該公司和知情人士透露，攻擊者利用社會工程學技術入侵了 Coinbase 的內部系統。 攻擊者的目標是該加密貨幣交易所的工作人員，特別是美國境外的客服人員，而非利用技術漏洞。

Coinbase 聲稱，這些駐印度的代表收受了現金賄賂，以換取訪問內部工具和客戶信息的權限。 受損數據包括姓名、地址、國籍、政府頒發的身份證號碼、出生日期和銀行信息。

攻擊者還訪問了賬戶創建日期、用戶餘額和其他了解客戶 (KYC) 信息細節Coinbase 確實確認密碼、私鑰和用戶資金未受到影響，但網絡安全偵探和用戶擔心他們可能會利用這些信息進行身份盜竊和冒充。

譴責贖金要求和監管回應

Coinbase 報告稱，它於 5 月 11 日（即數據最初被洩露幾個月後的 12 月 26 日）首次通過匿名電子郵件收到贖金要求。 犯罪分子威脅這家加密貨幣交易所，除非該公司支付 2000 萬美元，否則他們將在暗網上發布被盜信息。

Coinbase 在其公開文件中披露，攻擊者在勒索信發出前的幾個月就已開始利用位於國外的支持代理收集用戶數據。 所有涉嫌此次入侵的人員均已被解僱。

華盛頓特區當局調查此次黑客攻擊是美國司法部發起的刑事調查的一部分。 Coinbase 一直堅持與所有國內外相關執法機構全面合作的立場。

對延遲披露的批評

週二，美國投資者兼 TechCrunch 創始人邁克爾·阿靈頓 (Michael ArringTON) 譴責該公司延遲向公眾通報。 阿靈頓在社交媒體平台 X 上告訴他的粉絲，此類個人數據洩露可能造成的人員損失“堪稱悲痛”。

“它可能已經造成傷害”阿靈頓解釋道。 “人力成本遠遠高於他們認為公司實際需要報銷的 4 億美元左右”

阿靈頓藉此事件批評了現有的KYC法規，稱其既無效又危險。 他認為，這些法律與企業削減成本和對數據洩露的寬鬆處罰相結合，為濫用創造了條件。

他總結道：“政府和企業都需要加大力度阻止這種情況發生。其代價只能以人類的苦難來衡量。”

我是@coinbase不過，有一點必須要說——這次黑客攻擊——包括家庭住址和賬戶餘額——將導致人員死亡。 很可能已經造成了死亡。 以痛苦計算，人員傷亡遠大於4億美元……PIc.twitter.com/ruSYKAGH7x

— Michael ARrington