事件概況

Coinbase向美國證券交易委員會（SEC）提交的文件證實，惡意承包商竊取了不到1%平臺用戶的個人數(shù)據(jù)，并索要2000萬美元贖金。2025年5月11日，該公司收到威脅行為者的勒索郵件，對方聲稱掌握了客戶及內部數(shù)據(jù)。攻擊者承認通過收買海外支持崗位的承包商，利用其合法訪問權限從Coinbase內部系統(tǒng)提取信息。

事件響應措施

Coinbase表示，過去數(shù)月已通過安全監(jiān)控發(fā)現(xiàn)支持人員存在非業(yè)務需要的異常數(shù)據(jù)訪問行為，隨即終止了涉事人員權限，并采取以下措施：

• 增強欺詐監(jiān)控防護機制
• 向可能受影響的用戶發(fā)出預警
• 拒絕支付贖金要求
• 配合執(zhí)法部門調查

SEC備案文件顯示："公司安全監(jiān)控系統(tǒng)此前已獨立檢測到這些異常數(shù)據(jù)訪問行為。發(fā)現(xiàn)后立即終止了相關人員權限，同時實施強化防護措施，并通知潛在受影響客戶以防止信息濫用。經(jīng)評估確認，這些異常訪問屬于同一攻擊活動（即'安全事件'）的組成部分，攻擊者成功獲取了內部系統(tǒng)數(shù)據(jù)。"

泄露數(shù)據(jù)范圍

本次事件未涉及密碼、私鑰或客戶資金泄露，但包含以下敏感信息：

• 姓名、地址、電話及電子郵箱
• 部分社會安全號碼（僅顯示末四位）
• 部分銀行賬號及識別信息
• 政府簽發(fā)的身份證件圖像（如駕照、護照）
• 賬戶數(shù)據(jù)（余額快照及交易記錄）
• 有限的企業(yè)內部資料（包括支持人員可訪問的文檔、培訓材料和通訊記錄）

攻擊手法分析

Coinbase官網(wǎng)聲明披露："犯罪分子鎖定海外客服人員，通過現(xiàn)金賄賂誘使少數(shù)內部人員復制客服工具中的數(shù)據(jù)，涉及不足1%的月活躍用戶。其目的是獲取客戶名單實施冒充Coinbase的詐騙——誘騙用戶交出加密貨幣。"攻擊者隨后試圖勒索2000萬美元封口費，但遭到公司明確拒絕。

后續(xù)補救計劃

Coinbase宣布將采取以下改進措施：

• 經(jīng)核實后賠償受騙零售用戶
• 在美國新建支持中心
• 全球范圍加強安全控制與監(jiān)控
• 增加內部威脅檢測與響應投入
• 開展威脅模擬測試查找防御弱點
• 持續(xù)向用戶通報調查進展

據(jù)估算，該事件將造成1.8億至4億美元損失，主要用于系統(tǒng)修復和用戶賠償，最終影響仍在評估中。