A instituição cambial de criptomoedas Coinbase admitiu, por meio de nota divulgada essa semana, que cibercriminosos contrataram insiders para viabilizar invasões por engenharia social e roubar dados de clientes da empresa. A nota, divulgada em seu blog oficial, informa ainda que os agentes hostis exigiram US$ 20 milhões para o resgate das informações.
A Coinbase explica que os cibercriminosos teriam oferecido pagamentos pela cooptação de um pequeno grupo de insiders em fornecedores de suporte ao cliente nas suas operações externas. A função desses insiders era copiar dados dos clientes nas ferramentas de suporte, visando reunir informações para promover campanhas de phishing contra estes usuários. Os atacantes miravam menos de 1% dos clientes transacionais mensais da Coinbase.
“Eles conseguiram acesso a nomes, endereços, telefones, e-mails, Códigos de Seguridade social mascarados, números de contas bancárias mascaradas, imagens de identidades governamentais, histórico de transações, documentos, material de treinamento, entre outros dados. Porém, credenciais de login, códigos de 2FA, chaves privadas ou qualquer forma de acesso às carteiras quentes e frias da Coinbase foram preservados”, acrescenta a nota.
O comunicado ainda afirma que a empresa se recusou a pagar os valores exigidos pelo resgate dos dados. Em vez disso, a Coinbase iniciou um processo de cooperação com as autoridades policiais para desbaratarem a organização criminosa, auxiliando na identificação dos insiders e direcionar processos contra eles. A instituição ainda ofereceu o mesmo valor de 20 milhões de dólares por pistas que levam à prisão dos atacantes.
Em relação aos clientes, a instituição financeira pretende ressarcir aqueles que eventualmente forem lesados por golpes de engenharia social com os dados vazados. Além disso, foram estabelecidos novos padrões de Segurança corporativa para monitorar as atividades dos hubs de suporte por todos os locais em que atuem. Os usuários possivelmente atingidos serão informados pela empresa cambial e qualquer nova atualização será divulgada.
“Fraudadores, envolvidos com esse incidente ou não, podem tentar se passar por funcionários da Coinbase e tentar pressionar os clientes a redirecionarem seus fundos. A Coinbase nunca pedirá por senhas, códigos de 2FA ou transferências de recursos para outros endereços, contas ou carteiras. Pedimos desculpas pela preocupação e inconveniência causadas pelo incidente. Seguimos corrigindo as falhas para manter a criptoeconomia segura a todos”, conclui a nota.
Recentemente, outra empresa focada no setor de investimentos, a XP Inc. foi alvo de um incidente envolvendo informações de clientes. De acordo com o comunicado oficial da empresa enviado para a Security Report, houve um acesso não autorizado à base de dados, exigindo que a companhia bloqueasse imediatamente o acesso malicioso. A XP ainda informou que nenhum dado sensível foi comprometido.
A SR também publica, na íntegra, nota publicada no blog da Coinbase:
“Segurança e transparência são fundamentais para a Coinbase. Em consonância com esse compromisso, estamos detalhando publicamente uma tentativa de extorsão contra nós e nossos clientes. Em vez de financiar atividades criminosas, investigamos o incidente, reforçamos nossos controles e reembolsaremos os clientes afetados por esse incidente.
Os criminosos visaram nossos agentes de suporte ao cliente no exterior. Eles usaram ofertas em dinheiro para convencer um pequeno grupo de insiders a copiar dados em nossas ferramentas de suporte ao cliente para menos de 1% dos usuários com transações mensais da Coinbase. Seu objetivo era reunir uma lista de clientes com os quais pudessem entrar em contato fingindo ser a Coinbase – enganando as pessoas para que entregassem suas criptomoedas. Em seguida, tentaram extorquir a Coinbase em US$ 20 milhões para encobrir o fato. Nós dissemos não.
O que eles conseguiram: Nome, endereço, telefone e e-mail; Seguro social mascarado (apenas os últimos 4 dígitos); Números de contas bancárias mascarados e alguns identificadores de contas bancárias; Imagens de identidade do governo (por exemplo, carteira de motorista, passaporte); Dados da conta (instantâneos de saldo e histórico de transações); E dados corporativos limitados (incluindo documentos, material de treinamento e comunicações disponíveis para agentes de suporte).
O que eles não obtiveram: Credenciais de login ou códigos 2FA; Chaves privadas; Qualquer capacidade de movimentar ou acessar os fundos dos clientes; Acesso às contas do Coinbase Prime; e acesso a qualquer carteira quente ou fria da Coinbase ou de clientes da Coinbase
O que estamos fazendo a respeito
Resgatando os clientes – Reembolsaremos os clientes que foram induzidos a enviar fundos para o invasor devido a ataques de engenharia social. Se os seus dados foram acessados, você já recebeu um e-mail de no-reply@info.coinbase.com; todas as notificações foram enviadas às 7h20 ET de 15/5 para os clientes afetados.
Proteções adicionais para o cliente – As contas sinalizadas agora exigem verificações adicionais de identidade em grandes saques e incluem avisos obrigatórios de conscientização sobre golpes. Como monitoramos as transações de alto risco, você poderá sofrer atrasos.
Maior segurança nas operações de suporte – Abertura de um novo centro de suporte nos EUA e adição de controles de segurança e monitoramento mais fortes em todos os locais.
Fortalecimento das defesas – Aumentamos nosso investimento em detecção de ameaças internas, resposta automatizada e simulação de ameaças de segurança semelhantes para encontrar pontos de falha em qualquer sistema interno.
Manter a transparência – Os avisos de impacto foram enviados aos usuários afetados, e manteremos a comunidade atualizada à medida que a investigação avança.
Como estamos respondendo aos criminosos
Fundo de recompensa de US$ 20 milhões – Em vez de pagar o resgate de US$ 20 milhões, estamos estabelecendo um fundo de recompensa de US$ 20 milhões para informações que levem à prisão e condenação dos invasores. Envie um e-mail para security@coinbase.com com a palavra “[BOUNTY]” no assunto se você tiver informações sobre esses malfeitores.
Rastreamento de fundos roubados – Trabalhando com parceiros do setor, marcamos os endereços dos invasores para que as autoridades possam rastrear e trabalhar para recuperar os ativos.
Trabalhando com as autoridades policiais – Os insiders foram demitidos no local e encaminhados às autoridades policiais dos EUA e internacionais. Apresentaremos acusações criminais.
Como você pode se manter seguro
Espere impostores. Golpistas, relacionados ou não a esse incidente, podem se passar por funcionários da Coinbase e tentar pressioná-lo a transferir seus fundos. Lembre-se de que a Coinbase nunca pedirá sua senha, códigos 2FA ou que você transfira ativos para um endereço, conta, cofre ou carteira novos ou específicos. Nunca ligaremos ou enviaremos mensagens de texto para lhe dar uma nova frase-semente ou endereço de carteira para onde transferir seus fundos. Se você receber essa ligação, desligue o telefone. A Coinbase nunca pedirá que você entre em contato com um número desconhecido para falar conosco.
Além disso, aqui está um conjunto de práticas recomendadas:
Ative a lista de permissão de saque – Somente permita transferências para carteiras que você tenha certeza de que controla totalmente e onde a frase-semente é segura e não foi fornecida a você ou compartilhada com ninguém.
Habilitar 2FA forte – Chaves de hardware são melhores.
Não confie em impostores – A Coinbase nunca solicitará sua senha, códigos 2FA ou a transferência de fundos para uma carteira “segura”.
Bloqueie primeiro, pergunte depois – Se algo parecer estranho, bloqueie sua conta no aplicativo e envie um e-mail para security@coinbase.com.
Leia nossas dicas de segurança sobre como evitar golpes de engenharia social.
Conclusão
A adoção de criptografia depende da confiança. Para os clientes afetados, lamentamos a preocupação e o incômodo causados por esse incidente. Continuaremos a solucionar os problemas quando eles surgirem e a investir em defesas de classe mundial, pois é assim que protegemos nossos clientes e mantemos a economia de criptografia segura para todos.”
