La violation hautement organisée de la semaine dernière de l’échange de crypto-monnaie Coinbase (Coin) a laissé plus de questions que de réponses.
Alors que certains ont salué la réponse de Coinbase en tant que « très bon exemple » dans le traitement d’une crise, la violation a maintenant provoqué un problème de confidentialité potentiellement massif qui reflète la violation de données du grand livre en 2021 – ce qui a conduit à une vague de vols réelles car les criminels ont pu obtenir des noms et des adresses de crypto. Coinbase a déjà reconnu que ses clients ont peut-être perdu près d’un demi-milliard de dollars américains en raison de sa violation.
Les cybercriminels ont accédé aux données des utilisateurs de Coinbase en soudoyant et en convaincant les employés de Coinbase pour partager ces données, mais cela a été entièrement évitable, selon de nombreux experts qui ont parlé à Coindesk.
« Un système de sécurité inférieure rendrait le vol de données techniquement impossible, mais Coinbase n’a clairement pas priorisé ces mesures, laissant la porte grande ouverte », a déclaré Andy Zhou, co-fondateur de la société de sécurité de la blockchain, Blocksec à Coindesk.
Permettre à ces criminels d’accéder aux données personnelles, que ce soit par un piratage ou, dans ce cas, l’ingénierie sociale, est un brûlé majeur sur une bourse qui facilite des milliards de dollars de volume chaque jour. La brèche a créé une myriade de problèmes, y compris la confidentialité et la confiance des utilisateurs. Comment Coinbase, une entreprise cotée en bourse, pourrait-elle permettre aux attaquants de voler des informations personnelles et de l’argent par la porte d’entrée? Et aurait-il pu être empêché?
La PDG de Hackett Communications, Heather Dale, a salué la réponse de Coinbase en tant que «Masterclass en communication», mais la méthode de Coinbase pour résoudre les problèmes était simple: y jeter autant d’argent que possible.
L’échange a offert une prime de bogue de 20 millions de dollars pour quiconque a déclaré des informations qui entraîneraient une arrestation ou des poursuites. Il s’est également engagé à rembourser volontairement les utilisateurs impactés entre 180 et 400 millions de dollars.
Ce qui s’est passé?
Avant d’analyser les retombées de la violation, il est important de comprendre comment la violation s’est produite dans une entreprise cotée en bourse qui dépense des millions de dollars par mois dans les infrastructures de sécurité.
En février, le Sleuth en chaîne Zachxbt a signalé une augmentation des vols impliquant des utilisateurs de Coinbase. Il a dit que c’était «le résultat de modèles de risque agressif [million] par an aux escroqueries en génie social. »
La crainte que les cybercriminels volent des centaines de millions de dollars sont devenus une réalité la semaine dernière lorsque Coinbase a publié un article de blog révélant que les soldes de compte, les images d’identité du gouvernement, les numéros de téléphone, les adresses et les détails du compte bancaire masqué ont été volés.
Contrairement à d’autres hacks et violations, qui impliquent des attaquants exploitant un back-end défectueux, ces attaquants sont entrés par la porte d’entrée – communiquant directement avec les employés de Coinbase et achetant l’accès aux informations via des initiés voyous. Coinbase a affirmé qu’il avait licencié tous les employés responsables sur place, bien qu’il n’ait pas révélé la méthode qu’il utilisait pour trouver les responsables dans le billet de blog.
Le problème, cependant, ne se limite pas à la crypto. En 2022, la banque numérique Revolut a confirmé que 50 000 ensembles de données clients avaient été volés, tandis qu’un an plus tard, la plate-forme de négociation Robinhood avait jusqu’à 5 millions d’adresses e-mail fuites. Ce dernier a été condamné à une amende de 45 millions de dollars par la SEC à la suite de la violation après avoir émergé qu’une partie des clients avait leurs comptes essuyés par les attaquants.
La BBC a rapporté en octobre qu’un utilisateur de Revolut particulier avait perdu 165 000 £ (220 000 $) à la suite d’une violation de données et que le système de détection de fraude de Neobank a empêché 475 millions de livres sterling de transactions frauduleuses en 2023.
Les concurrents de Coinbase Binance et Kraken ont déclaré qu’ils avaient réussi à repousser des attaques d’ingénierie sociale similaires ces dernières semaines.
Le PDG de Coinbase, Brian Armstrong, a également publié une vidéo sur X la semaine dernière, déclarant qu’il avait reçu une «note de rançon» pour 20 millions de dollars en Bitcoin en échange de ces attaquants qui ne publient pas certaines informations qu’ils ont prétendument obtenues sur les clients de Coinbase.
Zachxbt a ajouté jeudi que les attaquants ont commencé à obscurcir les fonds volés en échangeant BTC contre ETH sur Thorchain, un lieu souvent utilisé par le tristement célèbre groupe nord-coréen Lazarus.
« Major-appel du réveil »
Andy Zhou, co-fondatrice de la société de sécurité blockchain, BlockSec, a déclaré à Coindesk que Coinbase aurait dû effectuer des «vérifications des antécédents plus strictes sur les employés gantant des données sensibles» et mettre en place des «alarmes pour une activité étrange» comme quelqu’un qui télécharge soudainement des milliers de profils de clients.
Zhou a ajouté que Coinbase aurait dû mettre en œuvre plusieurs solutions techniques. Ceux-ci incluent un accès strict basé sur les rôles, ce qui signifie que les employés ne voient que les données nécessaires ou les outils de confidentialité qui permettent de travailler sans exposer les détails bruts (par exemple, les photos d’identification brouillantes).
Nick Tausek, architecte principal de l’automatisation de la sécurité à Swimlane, a déclaré à Coindesk que la violation devrait être un «réveil majeur» pour une détection de menace d’initiés robuste.
«Alors que les échelles et les opérations d’externalisation s’étendent sur les fuseaux horaires, la détection des menaces d’initiés et la gouvernance d’accès ne peuvent pas être après ce sens.
Cependant, tout le monde ne s’accumule pas sur Coinbase.
Michal Pospieszalk, PDG de Matterfi, a déclaré que ce n’est pas un problème de Coinbase, c’est une vulnérabilité systémique qui a tourmenté la crypto depuis le premier jour. «
Il a fait valoir que la nature de l’envoi de crypto sans intermédiaire signifie que toutes les plateformes sont à un faux pas de la catastrophe.
Les pirates doivent concevoir une situation qui peut inciter les utilisateurs à envoyer leurs fonds dans une transaction irréversible. Dans le cas de Coinbase, les attaquants ont eu accès à des informations personnellement identifiables d’un employé voyou.
Le problème racine, selon Pospieszalsk, est le problème des utilisateurs ne sachant pas s’ils envoient des fonds au bon destinataire, ajoutant que Crypto fonctionne sur un modèle de vérification de l’identité «Crute-moi, bro» et ce n’est pas durable.
Que se passe-t-il ensuite?
Coinbase a déclaré que cela rembourserait volontairement les clients qui ont perdu des fonds pendant la violation et continueraient de travailler avec les forces de l’ordre pour capturer les responsables. Mais pour les utilisateurs, c’est une route plus sombre.
L’échange a déclaré dans un dossier réglementaire mercredi que la violation avait eu un impact sur 69 461 clients. Le dossier a également noté que la violation avait eu lieu en décembre 2024 et n’a été découverte par Coinbase que le 15 mai.
Ces détails sont maintenant disponibles sur Internet et peuvent même être à vendre sur le Web Dark et dans des groupes de télégrammes ombragés. Après la violation du grand livre, les détails du client ont été publiés sur RaidForums, une plate-forme de partage de données néfaste, qui a conduit à une augmentation des tentatives de phishing.
Malheureusement, Coinbase ne peut rien faire pour empêcher le partage de ces informations divulguées, laissant les utilisateurs concernés tenter de réaliser autant de garanties que possible. Il s’agit notamment de changer de portefeuille, de modification des adresses de dépôt sur les échanges et même de modifier les adresses domestiques pour éviter le risque de vols réelles. Les utilisateurs dont les numéros de sécurité sociale ont été divulgués devraient également verrouiller leur crédit pour empêcher le vol d’identité.
Il peut être lourd, mais comme on l’a vu plus tôt cette année lors de la tentative d’enlèvement du co-fondateur du grand livre David Balland (et de plusieurs autres personnes au cours des dernières semaines), les criminels ne s’arrêteront pas avant qu’ils ne extraient le montant maximum de fonds, même si cela signifie infliger des actes brutaux de violence.
Cela soulève également une question juridique potentielle: si un client Coinbase devait être volé ou agressé en raison de la violation de données, Coinbase serait-il responsable? Ledger n’a pas échappé à un projet de recours collectif plus tôt cette année, les plaignants alléguant que Ledger avait violé sa politique de confidentialité et aurait dû mettre en place des mesures pour empêcher la violation.
Le chercheur de crypto Molly White a également souligné que Coinbase avait modifié son accord d’utilisation en avril, ajoutant deux clauses limitant les recours collectifs et exigeant que les poursuites soient déposées à New York, les modifications étant appliquées le 15 mai, le même jour que la violation a été annoncée.
Coinbase a répondu à Coindesk au sujet des affirmations de White, déclarant que l’échange avait «informé les clients bien à l’avance» du changement du contrat d’utilisateur et qu’il avait une dispense de recours collective en place pendant des «années».
Coinbase n’a cependant pas commenté les questions liées à la question de savoir si la violation était évitable ou comment il protégera les clients qui pourraient être à risque de vols réels à l’avenir.
Lire la suite: Réaction du marché à Coinbase Hack « Overblown », disent les analystes en tant que SEC sonde énigme