Coinbase用戶個資遭盜賣!外包商「接受駭客賄絡」成內鬼:一場資安風暴,恐釀4億美元損失
加密貨幣交易所Coinbase驚傳遭到駭客攻擊!在一份Coinbase提交給美國證券交易委員會的監管文件中表示,有歹徒聲稱獲得了Coinbase部份客戶個資和其他內部訊息,估計最終損失可能將高達4億美元。
Coinbase官方聲明嚴詞指出,「網路犯罪分子賄賂並招募了一群行為不軌的海外支援人員竊取 Coinbase客戶資料,以利於進行攻擊。」
Coinbase表示,這些內部人員濫用了他們對客戶支援系統的存取權限,竊取了一小部分客戶的帳戶資料。但官方強調「沒有密碼、私鑰或資金外洩,Coinbase Prime 帳戶也未受影響。」
Coinbase強調,將賠償被誘騙將資金轉給攻擊者的客戶,並正與執法部門密切合作,強調**「不會支付我們收到的 2000 萬美元勒索要求。」
這場涉及4億美元損失的駭客網攻事件,究竟是如何發生的?
賄絡海外客服獲取個資,Coinbase被勒索2000萬美元
Coinbase在聲明中提到,網路犯罪分子透過賄賂海外克服,取得不到1%的每月交易客戶資料。 他們的目的是收集一份客戶名單,並假扮成Coinase詐騙人們的加密貨幣,還藉此事向Coinbase勒索2,000萬美元。
事實上,近幾個月陸續有Coinbase用戶反應遭遇詐騙的情況,區塊鏈調查員ZachXBT曾指出,Coinbase用戶在今年3月因社交工程被騙走多達4,600萬美元。
Coinbase 的發言人 Natasha LaBranche 向 《TechCrunch》表示,受影響的客戶數量少於其 970 萬月活躍用戶的1%,代表可能約有10萬名用戶的資料外洩。
雖然駭客並未取得登入憑證或密碼,但部分資料仍遭到竊取,包括姓名、地址、電子郵件、部分銀行帳戶號碼、社會安全碼後四碼、政府身分證件圖像和帳戶餘額等敏感資訊。
具體而言,被駭客盜取的資料包括:
- 基本個資:姓名、地址、電話號碼和電子郵件。
- 敏感個資:社會安全號碼的最後4位數字
- 金融資訊:銀行帳戶號碼(經過遮罩處理)和部分銀行識別信息。
- 身份驗證文件:政府身份證明文件影像,如駕照、護照等KYC資料。
- 帳戶活動資訊:餘額快照和交易歷史記錄。
- 公司內部資料:包括文件、培訓材料和客服人員之間的通訊。
不過Coinbase表示,駭客沒有取得登入憑證、私鑰,以及登入任何Coinbase冷熱錢包的能力,,Coinbase Prime帳戶沒有受到任何影響,並且沒有辦法轉移客戶的資金。
Coinbase喊話絕不會對勒索屈服,開價懸賞駭客
面對駭客的勒索,Coinbase強調他們拒絕支付駭客 2000 萬美元的贖金,並與執法機構合作調查這起事件 。Coinbase 的執行長布萊恩.阿姆斯壯(Brian Armstrong)強調,「我們正與執法部門密切合作,對犯罪者進行最嚴厲的懲罰,並且不會支付我們收到的2,000萬美元贖金要求 。」
Coinbase還設立 2000 萬美元的懸賞獎金,徵求有關駭客身分的情報,以逮捕並定罪這些罪犯,相反地,我們設立了一個 2000 萬美元的獎勵基金,以徵求能夠逮捕和定罪對此次攻擊負責的罪犯的資訊 。」
對於這次的疏漏,Coinbase 也採取多項措施加強安全防護,包括在美國開設新的支援中心、加強詐欺監控機制,以及對受影響的客戶進行賠償 。Coinbase 指出,他們將賠償因社交工程攻擊而受騙向攻擊者發送資金的零售客戶 。
「加密貨幣的普及取決於信任。對於受到此次事件影響的客戶,我們對由此造成的擔憂和不便深感抱歉。我們將繼續承擔出現的問題,並投資於世界一流的防禦措施,因為這是我們保護客戶並維護所有人加密貨幣經濟安全的方式 。」Coinbase在部落格中為這次事件致歉。
延伸閱讀:電商買氣回不來了?momo上市來營收首衰退:為何即使砸錢補貼,仍難克服3大隱憂?
資料來源:Reuters、CNBC、TechCrunch
本文初稿由AI撰寫,編輯:陳建鈞
責任編輯:李先泰
延伸閱讀
OpenAI砸錢買算力!與CoreWeave簽40億美元合約:優化AI基礎設施,讓ChatGPT更穩
輝達總部落腳北市科?傳新壽與北市府「低調磋商中」:5大候選地,黃仁勳怎麼挑?
「加入《數位時代》LINE好友,科技新聞不漏接」