Plateforme d'échanges de cryptomonnaies, Coinbase informe avoir été la cible d'une tentative d'extorsion de 20 millions de dollars suite à une fuite de données. Au lieu de payer cette demande de rançon et couvrir l'incident, les 20 millions de dollars abondent un fonds de récompense pour toute information menant à l'arrestation et à la condamnation des attaquants.
Coinbase explique que des cybercriminels ont corrompu et recruté un petit groupe d'agents de son service client. Ces derniers ont abusé de leur accès aux systèmes de support client pour dérober des données des comptes « d'un petit sous-ensemble de clients ».
Les données ainsi volées ont été exploitées dans des attaques par ingénierie sociale où les cybercriminels se faisaient passer pour Coinbase, dans le but de tromper les clients et les inciter à envoyer des fonds.
De quoi fomenter de belles escroqueries
Parmi les données compromises, Coinbase détaille le nom, l'adresse, le numéro de téléphone et l'e-mail, les quatre derniers chiffres du numéro de sécurité sociale, des numéros de compte bancaire masqués et certains identifiants de compte bancaire.
S'ajoutent à la liste des copies de pièces d'identité, des données de compte comme des instantanés de solde et l'historique des transactions, et des données d'entreprise limitées (documents, ressources de formation, communications pour des agents du service client).
Les cybercriminels n'ont par contre pas obtenu d'identifiants de connexion ou des codes 2FA (authentification à deux facteurs), les clés privées, la possibilité de déplacer ou d'accéder aux fonds de clients, l'accès aux comptes Coinbase Prime ou aux portefeuilles.
Coinbase s'engage à rembourser
D'après Coinbase, dont l'effort de transparence est au moins louable, les données de moins de 1 % de ses utilisateurs mensuels ont été consultées. En lien avec l'incident, Coinbase s'engage à rembourser les clients ayant envoyé des fonds aux escrocs.
Pour le moment, le coût du piratage pour Coinbase est estimé entre 180 et 400 millions de dollars. « Coinbase ne vous demandera jamais votre mot de passe, vos codes 2FA, ni de transférer des actifs vers un portefeuille spécifique », souligne la plateforme.
Des suspicions dès janvier
À Bloomberg, Coinbase précise avoir commencé à observer une activité inhabituelle chez certains représentants du service client dès le mois de janvier, mais assure avoir retiré leur accès dès qu'il a été découvert qu'ils partageaient des informations de manière inappropriée.
Les attaquants auraient essentiellement soudoyé des employés et des sous-traitants basés en Inde, et associés à des opérations d'externalisation des processus commerciaux ou de support.
