Contrairement aux pirates cryptographiques russes et nord-coréens, qui ne recherchent généralement que de l’argent, les membres des gangs de communication ont tendance à rechercher à la fois l’attention et le frisson des farces.
Rédaction : Ben Weiss, Jeff John Roberts
Compiler : Luffy, Foresight News
Le cofondateur et PDG de Coinbase, Brian Armstrong, a prononcé un discours lors d'un événement à Bangalore, en Inde, en 2022
Le 15 mai 2025, Coinbase a révélé que les données personnelles de dizaines de milliers de ses clients avaient été volées, ce qui constitue le plus grand incident de sécurité de l'histoire de l'entreprise, avec des pertes estimées pouvant atteindre 400 millions de dollars. Cette fuite de données est remarquable non seulement par son ampleur, mais aussi par les méthodes d'attaque des hackers : soudoyer des agents du service client à l'étranger pour obtenir des informations confidentielles sur les clients.
Coinbase a déclaré publiquement qu'elle paierait 20 millions de dollars de récompenses aux dénonciateurs fournissant des indices et aidant à l'arrestation et à la condamnation des criminels, mais a peu divulgué sur l'identité des attaquants ou les détails du chiffrement.
Un récent sondage du magazine Fortune (y compris la consultation d'e-mails entre Coinbase et un Hacker) a révélé de nouveaux détails sur l'incident, suggérant qu'un réseau lâche composé de jeunes hackers anglophones est en partie responsable. Parallèlement, les résultats de l'enquête soulignent que les soi-disant BPO (unités de sous-traitance de processus d'affaires) sont un maillon faible dans la sécurité opérationnelle des entreprises technologiques.
Trahison interne : le service client externalisé comme point d'entrée
L'histoire commence avec une petite entreprise cotée en bourse, TaskUs, située à New Braunfels, au Texas. Comme d'autres BPO, l'entreprise fournit des services client à de grandes entreprises technologiques à faible coût en employant des travailleurs à l'étranger. Selon un porte-parole de l'entreprise, en janvier de cette année, TaskUs a licencié 226 employés de son centre de services à Indore, en Inde, travaillant pour Coinbase.
Selon les documents soumis à la Securities and Exchange Commission des États-Unis, TaskUs fournit des agents de service client à Coinbase depuis 2017, ce qui permet à ce géant américain du chiffrement d'économiser une grande partie de ses coûts de main-d'œuvre. Mais le problème est le suivant : lorsque les clients envoient des e-mails pour poser des questions sur leur compte ou sur les nouveaux produits de Coinbase, il est probable qu'ils parlent avec des employés de TaskUs basés à l'étranger. Étant donné que les salaires de ces agents sont inférieurs à ceux des employés aux États-Unis, ils sont plus susceptibles d'être corrompus.
« Plus tôt cette année, nous avons découvert que deux individus avaient accédé illégalement aux informations d'un de nos clients, » a déclaré un porte-parole de TaskUs à Fortune en faisant référence à Coinbase, « nous pensons que ces deux personnes étaient employées par une activité criminelle plus large et organisée visant Coinbase, qui a également affecté de nombreux autres fournisseurs de services de Coinbase. »
Selon les documents réglementaires de Coinbase, TaskUs a licencié des employés en janvier de cette année, moins d'un mois après que Coinbase a découvert le vol de données clients (note : Coinbase a découvert la fuite de données en décembre 2024). Mardi, un recours collectif fédéral déposé à New York au nom des clients de Coinbase accuse TaskUs de négligence dans la protection des données clients. « Bien que nous ne puissions pas commenter le litige, nous pensons que ces accusations sont sans fondement et nous nous défendrons, » a déclaré un porte-parole de TaskUs. « Nous plaçons la protection des données clients en priorité absolue et continuerons de renforcer nos protocoles de sécurité mondiaux et nos programmes de formation. »
Une personne informée sur cet incident de sécurité a déclaré que les Hackers avaient également réussi à attaquer d'autres entreprises BPO, et que la nature des données volées variait à chaque incident.
Ces données volées ne suffisent pas à permettre aux hackers de pénétrer dans le coffre-fort de chiffrement de Coinbase, mais elles fournissent effectivement une richesse d'informations qui aident les criminels à se faire passer pour de faux agents du service client de Coinbase, à contacter les clients et à les persuader de leur remettre leurs actifs en chiffrement. La société a déclaré que les hackers avaient volé les données de plus de 69 000 clients, mais n'a pas précisé combien d'entre eux étaient devenus des victimes de ce que l'on appelle une « escroquerie par ingénierie sociale ». Dans ce cas, l'escroquerie par ingénierie sociale implique que des criminels utilisent les données volées pour se faire passer pour des employés de Coinbase et persuader les victimes de transférer leurs actifs en chiffrement.
« Comme nous l’avons déjà divulgué, nous avons récemment découvert qu’un acteur de la menace avait demandé au service client à l’étranger des informations sur les comptes clients remontant à décembre 2024 », a déclaré Coinbase dans un communiqué. Nous avons informé les utilisateurs et les régulateurs concernés, coupé le contact avec le personnel de TaskUs impliqué dans l’affaire et d’autres services à la clientèle à l’étranger, et renforcé les contrôles. Le communiqué a également ajouté qu’une indemnisation est versée aux clients qui ont perdu leurs fonds dans l’escroquerie.
Les escroqueries d'ingénierie sociale où des individus se font passer pour des représentants d'entreprise ne sont pas nouvelles, mais l'ampleur des attaques menées par des Hackers contre des entreprises BPO est plutôt rare. Bien que personne n'ait encore clairement identifié les criminels, certaines pistes pointent fortement vers un groupe lâche composé de jeunes Hackers anglophones.
Jeunes hackers : « Ils viennent des jeux vidéo »
Dans les jours suivant la divulgation de la fuite de données de Coinbase à la mi-mai, le magazine Fortune a échangé sur Telegram avec un homme se faisant appeler « puffy party », qui prétendait être l'un des hackers.
Deux autres chercheurs en sécurité qui ont discuté avec ce hacker anonyme ont déclaré à Forbes qu'ils le trouvaient crédible. L'un d'eux a déclaré : « D'après ce qu'il m'a partagé, j'ai soigneusement examiné ses déclarations et je n'ai pas pu trouver de preuves que ses déclarations étaient fausses. » Les deux chercheurs ont demandé à rester anonymes car ils craignent de recevoir des subpoenas en raison de leurs échanges avec le soi-disant hacker.
Au cours de l’échange, l’homme a partagé un certain nombre de captures d’écran, affirmant qu’il s’agissait d’échanges d’e-mails avec l’équipe de sécurité de Coinbase. Le nom qu’il utilisait pour communiquer avec Coinbase était « Lennard Schroeder ». Il a également partagé une capture d’écran d’un compte appartenant à un ancien dirigeant de Coinbase, qui montre des transactions cryptographiques et une pléthore de détails personnels.
Coinbase n'a pas nié l'authenticité de ces captures d'écran.
Cet e-mail partagé par un autoproclamé Hacker comprend une menace de racket de 20 millions de dollars en Bitcoin (Coinbase refuse de payer), ainsi que des commentaires moqueurs sur le fait que le gang de hackers utiliserait une partie du butin pour acheter des cheveux au PDG chauve de l'entreprise, Brian Armstrong. « Nous sommes prêts à sponsoriser une opération de greffe de cheveux, afin qu'il puisse voyager dans le monde avec style, » a écrit le Hacker.
Dans un message Telegram, cette personne (dont l'existence a été révélée par un chercheur en sécurité à Forbes) a exprimé son mépris pour Coinbase.
De nombreux vols de cryptomonnaies sont perpétrés par des gangs criminels russes ou l'armée nord-coréenne, mais il est prétendu que ce piratage a été réalisé par une alliance lâche composée de jeunes de 20 ans et d'adolescents appelés « Comm » ou « Com ».
Au cours des deux dernières années, des rapports sur le groupe Comm sont apparus dans les médias concernant d'autres incidents de hackers, y compris un article du New York Times plus tôt ce mois-ci, où un suspect d'avoir mené une série de vols de cryptomonnaies s'est présenté comme membre de cette organisation. Selon le Wall Street Journal, en 2023, les enquêteurs ont déterminé que les hackers de ce groupe avaient attaqué plusieurs casinos opérant en ligne à Las Vegas et avaient tenté de demander une rançon de 30 millions de dollars au MGM Resorts.
Contrairement aux pirates cryptographiques russes et nord-coréens, qui ne cherchent généralement que de l’argent, les membres du gang Comm ont tendance à rechercher à la fois l’attention et le frisson des farces. Ils collaborent parfois sur des hacks, mais ils sont aussi en concurrence les uns avec les autres pour voir qui peut voler le plus.
« Ils viennent des jeux vidéo et ramènent leurs scores élevés dans le monde réel, » a déclaré Josh Cooper-Duckett, directeur de l'enquête chez la société de chiffrement forensic Cryptoforensic Investigators. « Dans ce monde, leurs scores correspondent à combien ils ont volé. »
Dans un message Telegram, le pirate présumé a déclaré que des membres de Comm étaient responsables de différentes parties du vol. Son équipe corrompt le service client et collecte les données des clients, puis les donne à d’autres personnes extérieures à l’équipe qui connaissent bien les escroqueries par ingénierie sociale. Ils ont ajouté que différents groupes affiliés à Comm coordonnent la manière dont les différentes parties de l’opération sont menées sur des plateformes sociales telles que Telegram et Discord, et distribuent l’argent volé.
Sergio Garcia, fondateur de la société d’investigation crypto Tracelon, a déclaré à Fortune que la description de l’attaque Coinbase par les pirates correspond à ses observations sur le fonctionnement des gangs de Comm et d’autres escroqueries d’ingénierie sociale crypto. Des personnes familières avec le sujet ont déclaré que les personnes qui ont récemment attaqué les clients dans l’escroquerie d’ingénierie sociale parlaient l’anglais natif de l’Amérique du Nord.
Selon une source informée des salaires des employés de BPO, les employés de TaskUs en Inde gagnent entre 500 et 700 dollars par mois. TaskUs a refusé de commenter. Garcia a déclaré à Fortune que, bien que ce chiffre soit supérieur au PIB par habitant en Inde, les bas salaires des agents de service à la clientèle les rendent souvent plus susceptibles d'accepter des pots-de-vin. « Évidemment, c'est le maillon le plus faible de la chaîne, car ils ont une motivation économique à accepter des pots-de-vin, » a-t-il ajouté.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Coinbase fuite de données : l内幕 du centre de service client indien et du groupe de jeunes hackers
Rédaction : Ben Weiss, Jeff John Roberts
Compiler : Luffy, Foresight News
Le cofondateur et PDG de Coinbase, Brian Armstrong, a prononcé un discours lors d'un événement à Bangalore, en Inde, en 2022
Le 15 mai 2025, Coinbase a révélé que les données personnelles de dizaines de milliers de ses clients avaient été volées, ce qui constitue le plus grand incident de sécurité de l'histoire de l'entreprise, avec des pertes estimées pouvant atteindre 400 millions de dollars. Cette fuite de données est remarquable non seulement par son ampleur, mais aussi par les méthodes d'attaque des hackers : soudoyer des agents du service client à l'étranger pour obtenir des informations confidentielles sur les clients.
Coinbase a déclaré publiquement qu'elle paierait 20 millions de dollars de récompenses aux dénonciateurs fournissant des indices et aidant à l'arrestation et à la condamnation des criminels, mais a peu divulgué sur l'identité des attaquants ou les détails du chiffrement.
Un récent sondage du magazine Fortune (y compris la consultation d'e-mails entre Coinbase et un Hacker) a révélé de nouveaux détails sur l'incident, suggérant qu'un réseau lâche composé de jeunes hackers anglophones est en partie responsable. Parallèlement, les résultats de l'enquête soulignent que les soi-disant BPO (unités de sous-traitance de processus d'affaires) sont un maillon faible dans la sécurité opérationnelle des entreprises technologiques.
Trahison interne : le service client externalisé comme point d'entrée
L'histoire commence avec une petite entreprise cotée en bourse, TaskUs, située à New Braunfels, au Texas. Comme d'autres BPO, l'entreprise fournit des services client à de grandes entreprises technologiques à faible coût en employant des travailleurs à l'étranger. Selon un porte-parole de l'entreprise, en janvier de cette année, TaskUs a licencié 226 employés de son centre de services à Indore, en Inde, travaillant pour Coinbase.
Selon les documents soumis à la Securities and Exchange Commission des États-Unis, TaskUs fournit des agents de service client à Coinbase depuis 2017, ce qui permet à ce géant américain du chiffrement d'économiser une grande partie de ses coûts de main-d'œuvre. Mais le problème est le suivant : lorsque les clients envoient des e-mails pour poser des questions sur leur compte ou sur les nouveaux produits de Coinbase, il est probable qu'ils parlent avec des employés de TaskUs basés à l'étranger. Étant donné que les salaires de ces agents sont inférieurs à ceux des employés aux États-Unis, ils sont plus susceptibles d'être corrompus.
« Plus tôt cette année, nous avons découvert que deux individus avaient accédé illégalement aux informations d'un de nos clients, » a déclaré un porte-parole de TaskUs à Fortune en faisant référence à Coinbase, « nous pensons que ces deux personnes étaient employées par une activité criminelle plus large et organisée visant Coinbase, qui a également affecté de nombreux autres fournisseurs de services de Coinbase. »
Selon les documents réglementaires de Coinbase, TaskUs a licencié des employés en janvier de cette année, moins d'un mois après que Coinbase a découvert le vol de données clients (note : Coinbase a découvert la fuite de données en décembre 2024). Mardi, un recours collectif fédéral déposé à New York au nom des clients de Coinbase accuse TaskUs de négligence dans la protection des données clients. « Bien que nous ne puissions pas commenter le litige, nous pensons que ces accusations sont sans fondement et nous nous défendrons, » a déclaré un porte-parole de TaskUs. « Nous plaçons la protection des données clients en priorité absolue et continuerons de renforcer nos protocoles de sécurité mondiaux et nos programmes de formation. »
Une personne informée sur cet incident de sécurité a déclaré que les Hackers avaient également réussi à attaquer d'autres entreprises BPO, et que la nature des données volées variait à chaque incident.
Ces données volées ne suffisent pas à permettre aux hackers de pénétrer dans le coffre-fort de chiffrement de Coinbase, mais elles fournissent effectivement une richesse d'informations qui aident les criminels à se faire passer pour de faux agents du service client de Coinbase, à contacter les clients et à les persuader de leur remettre leurs actifs en chiffrement. La société a déclaré que les hackers avaient volé les données de plus de 69 000 clients, mais n'a pas précisé combien d'entre eux étaient devenus des victimes de ce que l'on appelle une « escroquerie par ingénierie sociale ». Dans ce cas, l'escroquerie par ingénierie sociale implique que des criminels utilisent les données volées pour se faire passer pour des employés de Coinbase et persuader les victimes de transférer leurs actifs en chiffrement.
« Comme nous l’avons déjà divulgué, nous avons récemment découvert qu’un acteur de la menace avait demandé au service client à l’étranger des informations sur les comptes clients remontant à décembre 2024 », a déclaré Coinbase dans un communiqué. Nous avons informé les utilisateurs et les régulateurs concernés, coupé le contact avec le personnel de TaskUs impliqué dans l’affaire et d’autres services à la clientèle à l’étranger, et renforcé les contrôles. Le communiqué a également ajouté qu’une indemnisation est versée aux clients qui ont perdu leurs fonds dans l’escroquerie.
Les escroqueries d'ingénierie sociale où des individus se font passer pour des représentants d'entreprise ne sont pas nouvelles, mais l'ampleur des attaques menées par des Hackers contre des entreprises BPO est plutôt rare. Bien que personne n'ait encore clairement identifié les criminels, certaines pistes pointent fortement vers un groupe lâche composé de jeunes Hackers anglophones.
Jeunes hackers : « Ils viennent des jeux vidéo »
Dans les jours suivant la divulgation de la fuite de données de Coinbase à la mi-mai, le magazine Fortune a échangé sur Telegram avec un homme se faisant appeler « puffy party », qui prétendait être l'un des hackers.
Deux autres chercheurs en sécurité qui ont discuté avec ce hacker anonyme ont déclaré à Forbes qu'ils le trouvaient crédible. L'un d'eux a déclaré : « D'après ce qu'il m'a partagé, j'ai soigneusement examiné ses déclarations et je n'ai pas pu trouver de preuves que ses déclarations étaient fausses. » Les deux chercheurs ont demandé à rester anonymes car ils craignent de recevoir des subpoenas en raison de leurs échanges avec le soi-disant hacker.
Au cours de l’échange, l’homme a partagé un certain nombre de captures d’écran, affirmant qu’il s’agissait d’échanges d’e-mails avec l’équipe de sécurité de Coinbase. Le nom qu’il utilisait pour communiquer avec Coinbase était « Lennard Schroeder ». Il a également partagé une capture d’écran d’un compte appartenant à un ancien dirigeant de Coinbase, qui montre des transactions cryptographiques et une pléthore de détails personnels.
Coinbase n'a pas nié l'authenticité de ces captures d'écran.
Cet e-mail partagé par un autoproclamé Hacker comprend une menace de racket de 20 millions de dollars en Bitcoin (Coinbase refuse de payer), ainsi que des commentaires moqueurs sur le fait que le gang de hackers utiliserait une partie du butin pour acheter des cheveux au PDG chauve de l'entreprise, Brian Armstrong. « Nous sommes prêts à sponsoriser une opération de greffe de cheveux, afin qu'il puisse voyager dans le monde avec style, » a écrit le Hacker.
Dans un message Telegram, cette personne (dont l'existence a été révélée par un chercheur en sécurité à Forbes) a exprimé son mépris pour Coinbase.
De nombreux vols de cryptomonnaies sont perpétrés par des gangs criminels russes ou l'armée nord-coréenne, mais il est prétendu que ce piratage a été réalisé par une alliance lâche composée de jeunes de 20 ans et d'adolescents appelés « Comm » ou « Com ».
Au cours des deux dernières années, des rapports sur le groupe Comm sont apparus dans les médias concernant d'autres incidents de hackers, y compris un article du New York Times plus tôt ce mois-ci, où un suspect d'avoir mené une série de vols de cryptomonnaies s'est présenté comme membre de cette organisation. Selon le Wall Street Journal, en 2023, les enquêteurs ont déterminé que les hackers de ce groupe avaient attaqué plusieurs casinos opérant en ligne à Las Vegas et avaient tenté de demander une rançon de 30 millions de dollars au MGM Resorts.
Contrairement aux pirates cryptographiques russes et nord-coréens, qui ne cherchent généralement que de l’argent, les membres du gang Comm ont tendance à rechercher à la fois l’attention et le frisson des farces. Ils collaborent parfois sur des hacks, mais ils sont aussi en concurrence les uns avec les autres pour voir qui peut voler le plus.
« Ils viennent des jeux vidéo et ramènent leurs scores élevés dans le monde réel, » a déclaré Josh Cooper-Duckett, directeur de l'enquête chez la société de chiffrement forensic Cryptoforensic Investigators. « Dans ce monde, leurs scores correspondent à combien ils ont volé. »
Dans un message Telegram, le pirate présumé a déclaré que des membres de Comm étaient responsables de différentes parties du vol. Son équipe corrompt le service client et collecte les données des clients, puis les donne à d’autres personnes extérieures à l’équipe qui connaissent bien les escroqueries par ingénierie sociale. Ils ont ajouté que différents groupes affiliés à Comm coordonnent la manière dont les différentes parties de l’opération sont menées sur des plateformes sociales telles que Telegram et Discord, et distribuent l’argent volé.
Sergio Garcia, fondateur de la société d’investigation crypto Tracelon, a déclaré à Fortune que la description de l’attaque Coinbase par les pirates correspond à ses observations sur le fonctionnement des gangs de Comm et d’autres escroqueries d’ingénierie sociale crypto. Des personnes familières avec le sujet ont déclaré que les personnes qui ont récemment attaqué les clients dans l’escroquerie d’ingénierie sociale parlaient l’anglais natif de l’Amérique du Nord.
Selon une source informée des salaires des employés de BPO, les employés de TaskUs en Inde gagnent entre 500 et 700 dollars par mois. TaskUs a refusé de commenter. Garcia a déclaré à Fortune que, bien que ce chiffre soit supérieur au PIB par habitant en Inde, les bas salaires des agents de service à la clientèle les rendent souvent plus susceptibles d'accepter des pots-de-vin. « Évidemment, c'est le maillon le plus faible de la chaîne, car ils ont une motivation économique à accepter des pots-de-vin, » a-t-il ajouté.