事件概況

Coinbase向美國證券交易委員會（SEC）提交的文件證實(shí)，惡意承包商竊取了不到1%平臺用戶的個(gè)人數(shù)據(jù)，并索要2000萬美元贖金。2025年5月11日，該公司收到威脅行為者的勒索郵件，對方聲稱掌握了客戶及內(nèi)部數(shù)據(jù)。攻擊者承認(rèn)通過收買海外支持崗位的承包商，利用其合法訪問權(quán)限從Coinbase內(nèi)部系統(tǒng)提取信息。

事件響應(yīng)措施

Coinbase表示，過去數(shù)月已通過安全監(jiān)控發(fā)現(xiàn)支持人員存在非業(yè)務(wù)需要的異常數(shù)據(jù)訪問行為，隨即終止了涉事人員權(quán)限，并采取以下措施：

• 增強(qiáng)欺詐監(jiān)控防護(hù)機(jī)制
• 向可能受影響的用戶發(fā)出預(yù)警
• 拒絕支付贖金要求
• 配合執(zhí)法部門調(diào)查

SEC備案文件顯示："公司安全監(jiān)控系統(tǒng)此前已獨(dú)立檢測到這些異常數(shù)據(jù)訪問行為。發(fā)現(xiàn)后立即終止了相關(guān)人員權(quán)限，同時(shí)實(shí)施強(qiáng)化防護(hù)措施，并通知潛在受影響客戶以防止信息濫用。經(jīng)評估確認(rèn)，這些異常訪問屬于同一攻擊活動（即'安全事件'）的組成部分，攻擊者成功獲取了內(nèi)部系統(tǒng)數(shù)據(jù)。"

泄露數(shù)據(jù)范圍

本次事件未涉及密碼、私鑰或客戶資金泄露，但包含以下敏感信息：

• 姓名、地址、電話及電子郵箱
• 部分社會安全號碼（僅顯示末四位）
• 部分銀行賬號及識別信息
• 政府簽發(fā)的身份證件圖像（如駕照、護(hù)照）
• 賬戶數(shù)據(jù)（余額快照及交易記錄）
• 有限的企業(yè)內(nèi)部資料（包括支持人員可訪問的文檔、培訓(xùn)材料和通訊記錄）

攻擊手法分析

Coinbase官網(wǎng)聲明披露："犯罪分子鎖定海外客服人員，通過現(xiàn)金賄賂誘使少數(shù)內(nèi)部人員復(fù)制客服工具中的數(shù)據(jù)，涉及不足1%的月活躍用戶。其目的是獲取客戶名單實(shí)施冒充Coinbase的詐騙——誘騙用戶交出加密貨幣。"攻擊者隨后試圖勒索2000萬美元封口費(fèi)，但遭到公司明確拒絕。

后續(xù)補(bǔ)救計(jì)劃

Coinbase宣布將采取以下改進(jìn)措施：

• 經(jīng)核實(shí)后賠償受騙零售用戶
• 在美國新建支持中心
• 全球范圍加強(qiáng)安全控制與監(jiān)控
• 增加內(nèi)部威脅檢測與響應(yīng)投入
• 開展威脅模擬測試查找防御弱點(diǎn)
• 持續(xù)向用戶通報(bào)調(diào)查進(jìn)展

據(jù)估算，該事件將造成1.8億至4億美元損失，主要用于系統(tǒng)修復(fù)和用戶賠償，最終影響仍在評估中。