Coinbase陷資安風暴！遭駭客勒索未果、恐損失4億美元

商傳媒｜記者責任編輯／綜合外電報導

根據美國最大加密貨幣交易所Coinbase本週向美國證券交易委員會（SEC）提交文件披露，駭客透過收買海外客服外包人員，非法存取用戶個資並進行社交工程詐騙，初估事件可能帶來高達4億美元損失。

不僅傳出駭客事件導致用戶資料外洩，15日更傳出Coinbase遭美國證券交易委員會（SEC）調查涉嫌誇大平台用戶數。消息一出導致Coinbase股價再度重挫，早盤一度跌逾6%。

外電報導指出，Coinbase於5月11日收到匿名勒索電郵，對方聲稱已取得部分Coinbase客戶帳號資訊、內部客服作業文件與帳戶管理系統資料，要求支付金額以換取不公開資料。Coinbase強調未與駭客協商，也未支付任何贖金，並已報警並配合執法單位展開調查。

雖然這起事件未涉及用戶密碼與私鑰外洩，但Coinbase坦承，部分客戶的姓名、地址、電話、電子郵件、隱碼處理後的銀行帳號與身份證資訊、政府身分證影像與帳戶餘額全部遭駭。Coinbase強調：「受影響用戶僅占少數，Prime機構帳戶並未遭入侵，公司會對受騙將資金轉給駭客的客戶進行補償」。

根據Coinbase部落格說明指出，公司內部早在先前即偵測到可疑存取，並立刻開除涉案人員，同時加強內部資安監控系統與客戶防詐教育。據悉，駭客是透過金錢收買支援外包單位中，具系統存取權限的人員，藉此滲透系統盜取資訊。

Coinbase透露，該攻擊行動的勒索金高達2,000萬美元，但公司已明確拒絕支付，並反向設立2,000萬美元懸賞金，提供任何可導致攻擊者被捕與定罪的線索者。

根據《紐約時報》報導，SEC調查焦點為Coinbase過去於證券申報與行銷資料中聲稱平台擁有逾1億「驗證用戶」，但此定義僅涵蓋已完成電郵或電話驗證者，可能高估實際活躍客戶數。該調查起自拜登政府時期，延續至目前相對友善加密產業的川普政府SEC之下。

對此，Coinbase首席法務長Paul Grewal向CNBC回應：「這是一項來自前一屆政府的舊案，調查的指標我們已在兩年半前停止使用，並於當時完整揭露給投資人」。

Coinbase近期剛宣布一項全球業務併購案，並即將在下週正式納入標普500指數，此時正值擴張關鍵時刻卻爆發內控漏洞，令投資人信心受挫。Coinbase執行長Brian Armstrong日前曾於法說會中立下目標，要將Coinbase打造成「全球第一的金融服務App」，如今面臨嚴峻的資安挑戰，恐成為Coinbase邁向全球化的一道陰影。