&format=webp)
Киберобирът в Coinbase за $400 милиона: Индийски кол център и хакери тийнейджъри
На 15 май Coinbase разкри, че хакери са откраднали персоналните данни на десетки хиляди клиенти - най-големият случай със сигурността в историята на компанията, който може да ѝ коства до 400 милиона $.
Нарушението е удивително освен с мащаба си, само че и с метода, по който хакерите са го направили: Подкупване на сътрудници от отдела за обслужване на клиенти в чужбина, с цел да споделят поверителни данни за клиентите.
Coinbase реагира, като обществено разгласи премия от 20 млн. $ за тези, които са откраднали данните и са се пробвали да изнудват компанията, с цел да не разкриват случая. Но тя показа малко детайлности кой е направил офанзивата или по какъв начин хакерите са съумели да се насочат толкоз сполучливо към нейните сътрудници.
Разследване на Fortune, включващо обзор на имейли сред Coinbase и един от хакерите, разкрива нови детайлности, които мощно подсказват, че частично виновна е хлабава мрежа от млади англоговорящи хакери. Междувременно констатациите акцентират и ролята на така наречен звена за аутсорсинг на бизнес процеси (BPO) като уязвимост в интервенциите за сигурност на софтуерните компании.
Вътрешни афери
Историята стартира с дребна, само че обществено търгувана компания, основана в Ню Браунфелс, Тексас, наречена TaskUs.
Подобно на други BPO, тя дава услуги на клиентите на огромните софтуерни компании евтино, като наема личен състав в чужбина. През януари TaskUs уволнява 226 чиновници, работещи за Coinbase от центъра си за услуги в Индор, Индия, съгласно представител на компанията.
От 2017 година TaskUs дава на Coinbase личен състав за обслужване на клиенти – съглашение, което носи на американския крипто колос обилни икономии от разноски за труд, съгласно подадената до Комисията по скъпите бумаги и фондовите тържища информация.
Но има и измама: Когато клиентите изпращат имейл, с цел да попитат за сметките си или за нов артикул на Coinbase, те евентуално приказват с задграничен чиновник на TaskUs. И защото тези сътрудници получават ниски заплати в съпоставяне със чиновниците в Съединени американски щати, се оказват податливи на подкупи.
„ В началото на тази година идентифицирахме две лица, които получиха противозаконен достъп до информация от един от нашите клиенти “, съобщи представител на TaskUs пред Fortune по отношение на Coinbase. „ Смятаме, че тези две лица са били вербувани от доста по-широка, координирана незаконна акция против този клиент, която е засегнала и редица други снабдители, обслужващи този клиент. “
Уволненията на TaskUs през януари се случват по-малко от месец, откакто Coinbase разкрива кражба на потребителски данни. Във вторник федерален групов иск, подаден в Ню Йорк от името на клиенти на Coinbase, упрекна TaskUs в немарливост при отбраната на данните.
„ Въпреки че не можем да разясняваме правосъдни разногласия, считаме, че исковете са неоснователни и имаме намерение да се защитим “, съобщи представител на TaskUs. „ Придаваме най-голям приоритет на опазването на данните на нашите клиенти и продължаваме да укрепваме нашите световни протоколи за сигурност и стратегии за образование. “
Източник, осведомен с случая със сигурността, поискал анонимност, съобщи, че хакерите са се насочили и към други BPO, в някои случаи сполучливо, и естеството на откраднатите данни варира според от всяка офанзива.
Откраднатите данни не са били задоволителни на хакерите, с цел да обхванат в криптохранилищата на Coinbase. Но те дават богата информация, която им оказва помощ да се показват за подправени сътрудници на Coinbase, като се свързват с клиенти и ги убеждават да предадат криптосредствата си. Компанията твърди, че хакерите са откраднали данните на над 69 000 клиенти, само че не споделя какъв брой са били жертви на така наречен измами със обществено инженерство.
Социално-инженерните измами в този случай са включвали хакери, употребяващи откраднатите данни, с цел да се показват за чиновници на Coinbase и да убеждават жертвите да трансферират криптоактивите си.
„ Уведомихме засегнатите консуматори и регулаторните органи, прекъснахме връзките със забъркания личен състав на TaskUs и други задгранични сътрудници и затегнахме контрола “, се споделя в изказването на Coinbase, като се прибавя, че възвръща средства на клиентите, които са ги изгубили при измамите.
Coinbase също по този начин съобщи, че цифрата от 400 млн. $, която е показала обществено като обща стойност на нарушаването, е в горния завършек на нейните оценки, а долната граница е 180 млн. $.
Макар че измамите със обществено инженерство не са нещо ново, мащабът, в който хакерите са се насочили към BPO, наподобява е нов. И въпреки че никой не е разпознал дефинитивно причинителите, редица улики сочат към едва обвързвана мрежа от млади англоговорящи хакери.
Те идват от видеоигрите
В дните след разкриването на пробива в средата на май, Fortune разменя известия в Telegram с лице, което назовава себе си puffy party и твърди, че е един от хакерите.
Двама други откриватели по сигурността, които са разговаряли с анонимния хакер, обявиха пред Fortune, че считат лицето за правдиво. В размяната на информация лицето споделя голям брой скрийншоти на имейли, които съгласно него са били изпратени до екипа по сигурността на Coinbase. Името, което са употребявали за връзка с компанията, е „ Ленард Шрьодер “. Те също по този начин споделят скрийншоти на акаунт в Coinbase, принадлежащ на някогашен изпълнителен шеф, който демонстрира крипто транзакции и обширни персонални данни.
Coinbase не отхвърли достоверността на скрийншотите.
Имейлите, споделени от хипотетичния хакер, включват опасност за изнудване за 20 млн. $ в биткойни, които Coinbase отхвърли да заплати, и подигравателни мнения за това по какъв начин хакерската група ще употребява част от приходите, с цел да купи коса за Брайън Армстронг, плешивия основен изпълнителен шеф. „ Готови сме да спонсорираме трансплантация на коса “, пишат хакерите.
В известията в Telegram хипотетичният хакер показва пренебрежение към Coinbase.
Много криптограбежи се правят от съветски незаконни банди или севернокорейски военни, само че хипотетичният хакер твърди, че работата е дело на свободно съдружие на младежи и 20-годишни консуматори, наричани „ Comm “ или „ Com “, редуциране от Community.
През последните две години известия за Comm се появиха в медийни отчети за други хакерски произшествия, в това число в публикация на New York Times от началото на този месец, в която един от хипотетичните причинители на серия обири на криптовалути се разпознава като член на групата.
През 2023 година пък хакери, които проверяващите дефинират като част от Comm, се насочват към онлайн интервенциите на няколко казина в Лас Вегас и се пробват да изнудят MGM Resorts за 30 млн. $, съгласно Wall Street Journal.
За разлика от съветските и севернокорейските криптохакери, които нормално търсят пари, членовете на Comm постоянно са стимулирани и от блян към внимание или от тръпката от злодеянието. Понякога те си сътрудничат, само че и се конкурират между тях в блян кой да открадне повече.
„ Те идват от видеоигрите, а по-късно придвижват високите си резултати в действителния свят “, споделя Джош Купър-Дъкет, шеф на следствията в Cryptoforensic Investigators. „ И високият им резултат в този свят е какъв брой пари крадат. “
В известията в Telegram хипотетичният хакер споделя, че членовете на Comm се специализират в разнообразни стадии на обира. Екипът на хакера е подкупил сътрудниците от отдела за поддръжка на клиенти и е събрал данните на клиентите, които е дал на други лица отвън групата, добре осведомени с измамите посредством обществено инженерство. Различните групи, свързани с Comm, са се координирали в обществени платформи като Telegram и Discord по какъв начин да извършат интервенцията и са се споразумели да си поделят приходите.
Серхио Гарсия, създател на компанията за крипто следствия Tracelon, съобщи пред Fortune, че описанието на хакера за експлойта на Coinbase отразява наблюденията му за метода, по който работи Comm, и за други крипто измами със обществен инженеринг. Човек, осведомен с случаите в региона на сигурността, съобщи, че лицата, които са се насочили към клиентите в последните измами със обществено инженерство, са говорили на неакцентиран северноамерикански британски.
Според източник, осведомен със заплатите на чиновниците от BPO, на тези от TaskUs в Индия се заплаща сред 500 и 700 $ на месец. TaskUs отхвърли коментар. Въпреки че това е повече от брутния вътрешен артикул на човек в Индия, ниските заплати на сътрудниците по поддръжка на клиенти постоянно ги вършат по-податливи на подкупи, споделя Гарсия пред Fortune. „ Очевидно това е най-слабата точка във веригата, тъй като има икономическа причина да одобряват подкупа “, добавя той.
Нарушението е удивително освен с мащаба си, само че и с метода, по който хакерите са го направили: Подкупване на сътрудници от отдела за обслужване на клиенти в чужбина, с цел да споделят поверителни данни за клиентите.
Coinbase реагира, като обществено разгласи премия от 20 млн. $ за тези, които са откраднали данните и са се пробвали да изнудват компанията, с цел да не разкриват случая. Но тя показа малко детайлности кой е направил офанзивата или по какъв начин хакерите са съумели да се насочат толкоз сполучливо към нейните сътрудници.
Разследване на Fortune, включващо обзор на имейли сред Coinbase и един от хакерите, разкрива нови детайлности, които мощно подсказват, че частично виновна е хлабава мрежа от млади англоговорящи хакери. Междувременно констатациите акцентират и ролята на така наречен звена за аутсорсинг на бизнес процеси (BPO) като уязвимост в интервенциите за сигурност на софтуерните компании.
Вътрешни афери
Историята стартира с дребна, само че обществено търгувана компания, основана в Ню Браунфелс, Тексас, наречена TaskUs.
Подобно на други BPO, тя дава услуги на клиентите на огромните софтуерни компании евтино, като наема личен състав в чужбина. През януари TaskUs уволнява 226 чиновници, работещи за Coinbase от центъра си за услуги в Индор, Индия, съгласно представител на компанията.
От 2017 година TaskUs дава на Coinbase личен състав за обслужване на клиенти – съглашение, което носи на американския крипто колос обилни икономии от разноски за труд, съгласно подадената до Комисията по скъпите бумаги и фондовите тържища информация.
Но има и измама: Когато клиентите изпращат имейл, с цел да попитат за сметките си или за нов артикул на Coinbase, те евентуално приказват с задграничен чиновник на TaskUs. И защото тези сътрудници получават ниски заплати в съпоставяне със чиновниците в Съединени американски щати, се оказват податливи на подкупи.
„ В началото на тази година идентифицирахме две лица, които получиха противозаконен достъп до информация от един от нашите клиенти “, съобщи представител на TaskUs пред Fortune по отношение на Coinbase. „ Смятаме, че тези две лица са били вербувани от доста по-широка, координирана незаконна акция против този клиент, която е засегнала и редица други снабдители, обслужващи този клиент. “
Уволненията на TaskUs през януари се случват по-малко от месец, откакто Coinbase разкрива кражба на потребителски данни. Във вторник федерален групов иск, подаден в Ню Йорк от името на клиенти на Coinbase, упрекна TaskUs в немарливост при отбраната на данните.
„ Въпреки че не можем да разясняваме правосъдни разногласия, считаме, че исковете са неоснователни и имаме намерение да се защитим “, съобщи представител на TaskUs. „ Придаваме най-голям приоритет на опазването на данните на нашите клиенти и продължаваме да укрепваме нашите световни протоколи за сигурност и стратегии за образование. “
Източник, осведомен с случая със сигурността, поискал анонимност, съобщи, че хакерите са се насочили и към други BPO, в някои случаи сполучливо, и естеството на откраднатите данни варира според от всяка офанзива.
Откраднатите данни не са били задоволителни на хакерите, с цел да обхванат в криптохранилищата на Coinbase. Но те дават богата информация, която им оказва помощ да се показват за подправени сътрудници на Coinbase, като се свързват с клиенти и ги убеждават да предадат криптосредствата си. Компанията твърди, че хакерите са откраднали данните на над 69 000 клиенти, само че не споделя какъв брой са били жертви на така наречен измами със обществено инженерство.
Социално-инженерните измами в този случай са включвали хакери, употребяващи откраднатите данни, с цел да се показват за чиновници на Coinbase и да убеждават жертвите да трансферират криптоактивите си.
„ Уведомихме засегнатите консуматори и регулаторните органи, прекъснахме връзките със забъркания личен състав на TaskUs и други задгранични сътрудници и затегнахме контрола “, се споделя в изказването на Coinbase, като се прибавя, че възвръща средства на клиентите, които са ги изгубили при измамите.
Coinbase също по този начин съобщи, че цифрата от 400 млн. $, която е показала обществено като обща стойност на нарушаването, е в горния завършек на нейните оценки, а долната граница е 180 млн. $.
Макар че измамите със обществено инженерство не са нещо ново, мащабът, в който хакерите са се насочили към BPO, наподобява е нов. И въпреки че никой не е разпознал дефинитивно причинителите, редица улики сочат към едва обвързвана мрежа от млади англоговорящи хакери.
Те идват от видеоигрите
В дните след разкриването на пробива в средата на май, Fortune разменя известия в Telegram с лице, което назовава себе си puffy party и твърди, че е един от хакерите.
Двама други откриватели по сигурността, които са разговаряли с анонимния хакер, обявиха пред Fortune, че считат лицето за правдиво. В размяната на информация лицето споделя голям брой скрийншоти на имейли, които съгласно него са били изпратени до екипа по сигурността на Coinbase. Името, което са употребявали за връзка с компанията, е „ Ленард Шрьодер “. Те също по този начин споделят скрийншоти на акаунт в Coinbase, принадлежащ на някогашен изпълнителен шеф, който демонстрира крипто транзакции и обширни персонални данни.
Coinbase не отхвърли достоверността на скрийншотите.
Имейлите, споделени от хипотетичния хакер, включват опасност за изнудване за 20 млн. $ в биткойни, които Coinbase отхвърли да заплати, и подигравателни мнения за това по какъв начин хакерската група ще употребява част от приходите, с цел да купи коса за Брайън Армстронг, плешивия основен изпълнителен шеф. „ Готови сме да спонсорираме трансплантация на коса “, пишат хакерите.
В известията в Telegram хипотетичният хакер показва пренебрежение към Coinbase.
Много криптограбежи се правят от съветски незаконни банди или севернокорейски военни, само че хипотетичният хакер твърди, че работата е дело на свободно съдружие на младежи и 20-годишни консуматори, наричани „ Comm “ или „ Com “, редуциране от Community.
През последните две години известия за Comm се появиха в медийни отчети за други хакерски произшествия, в това число в публикация на New York Times от началото на този месец, в която един от хипотетичните причинители на серия обири на криптовалути се разпознава като член на групата.
През 2023 година пък хакери, които проверяващите дефинират като част от Comm, се насочват към онлайн интервенциите на няколко казина в Лас Вегас и се пробват да изнудят MGM Resorts за 30 млн. $, съгласно Wall Street Journal.
За разлика от съветските и севернокорейските криптохакери, които нормално търсят пари, членовете на Comm постоянно са стимулирани и от блян към внимание или от тръпката от злодеянието. Понякога те си сътрудничат, само че и се конкурират между тях в блян кой да открадне повече.
„ Те идват от видеоигрите, а по-късно придвижват високите си резултати в действителния свят “, споделя Джош Купър-Дъкет, шеф на следствията в Cryptoforensic Investigators. „ И високият им резултат в този свят е какъв брой пари крадат. “
В известията в Telegram хипотетичният хакер споделя, че членовете на Comm се специализират в разнообразни стадии на обира. Екипът на хакера е подкупил сътрудниците от отдела за поддръжка на клиенти и е събрал данните на клиентите, които е дал на други лица отвън групата, добре осведомени с измамите посредством обществено инженерство. Различните групи, свързани с Comm, са се координирали в обществени платформи като Telegram и Discord по какъв начин да извършат интервенцията и са се споразумели да си поделят приходите.
Серхио Гарсия, създател на компанията за крипто следствия Tracelon, съобщи пред Fortune, че описанието на хакера за експлойта на Coinbase отразява наблюденията му за метода, по който работи Comm, и за други крипто измами със обществен инженеринг. Човек, осведомен с случаите в региона на сигурността, съобщи, че лицата, които са се насочили към клиентите в последните измами със обществено инженерство, са говорили на неакцентиран северноамерикански британски.
Според източник, осведомен със заплатите на чиновниците от BPO, на тези от TaskUs в Индия се заплаща сред 500 и 700 $ на месец. TaskUs отхвърли коментар. Въпреки че това е повече от брутния вътрешен артикул на човек в Индия, ниските заплати на сътрудниците по поддръжка на клиенти постоянно ги вършат по-податливи на подкупи, споделя Гарсия пред Fortune. „ Очевидно това е най-слабата точка във веригата, тъй като има икономическа причина да одобряват подкупа “, добавя той.
Източник: profit.bg
КОМЕНТАРИ