Ao contrário dos hackers encriptação da Rússia e da Coreia do Norte, que geralmente apenas buscam dinheiro, os membros do grupo Comm costumam querer chamar a atenção e também buscam a emoção de pregar peças.
Escrito por: Ben Weiss, Jeff John Roberts
Compilado por: Luffy, Foresight News
O cofundador e CEO da Coinbase, Brian Armstrong, fez uma palestra em um evento em Bangalore, na Índia, em 2022
No dia 15 de maio de 2025, a Coinbase revelou que os dados pessoais de dezenas de milhares de seus clientes foram roubados, o que representa o maior incidente de segurança na história da empresa, com perdas previstas de até 400 milhões de dólares. Esta violação de dados é notável não apenas pela sua escala, mas também pelos métodos de ataque dos hackers: subornar funcionários de atendimento ao cliente no exterior para obter informações confidenciais dos clientes.
A Coinbase anunciou publicamente que pagará 20 milhões de dólares em recompensas a denunciantes que fornecerem pistas que ajudem na captura e condenação de criminosos, mas revelou muito pouco sobre a identidade dos atacantes ou os detalhes do ataque.
Uma recente pesquisa da revista "Fortune" (incluindo a análise de emails entre a Coinbase e um hacker) revelou novos detalhes sobre o evento, sugerindo que uma rede solta composta por jovens hackers anglófonos é uma das partes responsáveis. Ao mesmo tempo, os resultados da pesquisa também destacaram que os chamados BPO (unidades de terceirização de processos de negócios) são um ponto fraco nas operações de segurança das empresas de tecnologia.
Traição interna: o atendimento ao cliente terceirizado torna-se a brecha
A história começa com uma pequena empresa pública chamada TaskUs, localizada em New Braunfels, Texas. Tal como outras BPOs, a empresa fornece serviços de atendimento ao cliente a grandes empresas de tecnologia, empregando funcionários no exterior a baixo custo. Segundo um porta-voz da empresa, em janeiro deste ano, a TaskUs demitiu 226 funcionários que trabalhavam para a Coinbase em seu centro de serviços localizado em Indore, na Índia.
De acordo com documentos apresentados à Comissão de Valores Mobiliários dos Estados Unidos, desde 2017, a TaskUs tem fornecido pessoal de atendimento ao cliente para a Coinbase, uma parceria que economizou uma quantidade significativa de custos de mão de obra para este gigante americano de encriptação. Mas a questão é: quando os clientes enviam e-mails perguntando sobre suas contas ou novos produtos da Coinbase, é provável que estejam conversando com funcionários da TaskUs no exterior. Como os salários desses agentes são inferiores aos dos funcionários locais nos EUA, eles são mais suscetíveis a subornos.
"No início deste ano, descobrimos que duas pessoas acessaram ilegalmente as informações de um de nossos clientes," disse um porta-voz da TaskUs à revista Fortune, ao se referir à Coinbase. "Acreditamos que essas duas pessoas estavam empregadas em uma atividade criminosa mais ampla e organizada contra a Coinbase, que também afetou muitos outros fornecedores que prestam serviços à Coinbase."
De acordo com os documentos regulatórios da Coinbase, a TaskUs demitiu funcionários em janeiro deste ano, a menos de um mês após a Coinbase descobrir que os dados dos clientes haviam sido roubados (Nota: a Coinbase descobriu a violação de dados em dezembro de 2024). Na terça-feira, uma ação coletiva federal apresentada em Nova Iorque em nome dos clientes da Coinbase alega que a TaskUs foi negligente na proteção dos dados dos clientes. "Embora não possamos comentar sobre o litígio, acreditamos que essas alegações são infundadas e nos defenderemos," afirmou um porta-voz da TaskUs, "colocamos a proteção dos dados dos clientes como a maior prioridade e continuaremos a reforçar nossos protocolos de segurança globais e programas de treinamento."
Uma fonte informada sobre o incidente de segurança disse que os hackers também atacaram com sucesso algumas outras empresas de BPO, e a natureza dos dados roubados variava em cada incidente.
Os dados roubados não foram suficientes para os hackers invadirem os cofres de criptomoedas da Coinbase, mas forneceram uma riqueza de informações para ajudar os criminosos a se disfarçarem de falso atendimento ao cliente da Coinbase para entrar em contato com os clientes e convencê-los a entregar seus criptoativos. A empresa disse que os hackers roubaram os dados de mais de 69.000 clientes, mas não disse quantos deles foram vítimas dos chamados "golpes de engenharia social". Neste caso, o golpe de engenharia social envolveu criminosos usando dados roubados para se passar por funcionários da Coinbase para convencer as vítimas a transferir seus criptoativos.
A Coinbase declarou em um comunicado: "Como já divulgamos, recentemente descobrimos que um ator de ameaça havia solicitado informações de contas de clientes que podiam ser rastreadas até dezembro de 2024 a um atendimento ao cliente no exterior. Notificamos os usuários afetados e as autoridades regulatórias, cortamos o contato com o pessoal da TaskUs envolvido e outros atendimentos ao cliente no exterior, e reforçamos o controle." O comunicado também acrescentou que está compensando os clientes que perderam dinheiro na fraude.
Fraudes de engenharia social realizadas por falsos representantes de empresas não são novidade, mas a escala dos ataques dos hackers contra empresas de BPO é bastante rara. Embora ninguém tenha identificado claramente os criminosos, algumas pistas apontam fortemente para uma organização solta composta por jovens hackers que falam inglês.
Jovens Hacker de Gangues: "Eles vêm dos videojogos"
Nos dias seguintes à divulgação do incidente de vazamento de dados da Coinbase em meados de maio, a revista Fortune conversou no Telegram com um homem que se autodenominava "puffy party", afirmando ser um dos hackers.
Além disso, dois pesquisadores de segurança que conversaram com esse hacker anônimo disseram à revista Fortune que acreditam que ele é confiável. Um deles disse: "Com base no que ele compartilhou comigo, eu analisei seriamente suas declarações e não consegui encontrar evidências de que suas afirmações são falsas." Ambos os pesquisadores pediram anonimato, pois temem receber intimações por conversarem com o suposto hacker.
Durante a comunicação, o homem compartilhou muitas capturas de tela, afirmando que estas eram correspondências por e-mail com a equipa de segurança da Coinbase. O nome que usou ao comunicar-se com a Coinbase foi "Lennard Schroeder". Ele também compartilhou uma captura de tela de uma conta pertencente a um ex-executivo da Coinbase, que mostrava transações encriptação e uma grande quantidade de detalhes pessoais.
A Coinbase não negou a autenticidade dessas capturas de tela.
Este e-mail compartilhado pelo autodenominado Hacker inclui uma ameaça de extorsão de 20 milhões de dólares em Bitcoin (a Coinbase se recusou a pagar), bem como comentários sarcásticos sobre o grupo de hackers comprar cabelo para o CEO careca da empresa, Brian Armstrong, com parte do dinheiro roubado. "Estamos dispostos a patrocinar uma cirurgia capilar, para que ele possa viajar pelo mundo com estilo," escreveu o Hacker.
Na mensagem do Telegram, esta pessoa (que a revista Fortune soube da existência através de um investigador de segurança) expressou desprezo pela Coinbase.
Muitos casos de roubo de criptomoedas foram perpetrados por gangues criminosas russas ou pela milícia norte-coreana, mas alega-se que este ataque de hacker foi realizado por uma aliança solta composta por adolescentes e jovens na casa dos 20 anos, conhecidos como "Comm" ou "Com".
Nos últimos dois anos, relatórios sobre o grupo Comm apareceram nas reportagens de outros incidentes de hackers, incluindo um artigo do New York Times mais cedo este mês, onde um suspeito de implementar uma série de roubos de encriptação afirmou ser membro da organização. De acordo com o Wall Street Journal, em 2023, investigadores identificaram que hackers associados à organização atacaram vários cassinos operando online em Las Vegas e tentaram extorquir 30 milhões de dólares do MGM Resorts.
Ao contrário dos hackers encriptação da Rússia e da Coreia do Norte, que geralmente só buscam dinheiro, os membros da gangue Comm tendem a querer chamar a atenção e buscar a adrenalina das travessuras. Às vezes, eles colaboram em ataques de hacker, mas também competem entre si para ver quem rouba mais.
"Eles vêm dos videogames e levam suas altas pontuações para o mundo real," disse Josh Cooper-Duckett, diretor de investigações da empresa de investigação emcriptação Cryptoforensic Investigators, "neste mundo, suas pontuações são quanto dinheiro eles roubaram."
Na mensagem do Telegram, este suposto Hacker afirmou que os membros da Comm são responsáveis por diferentes etapas do roubo. A sua equipe suborna o atendimento ao cliente e coleta dados de clientes, que depois entrega a outros membros da equipe que são especialistas em fraudes de engenharia social. Eles acrescentaram que diferentes grupos afiliados da Comm coordenam como executar as diferentes partes da ação em plataformas sociais como Telegram e Discord, e distribuem o produto do crime.
Sergio Garcia, fundador da empresa de investigação de criptomoedas Tracelon, disse à Fortune que a descrição dos hackers sobre o ataque à Coinbase corresponde às suas observações de como as gangues da Comm operam e outros golpes de engenharia social cripto. Pessoas familiarizadas com o assunto disseram que as pessoas que recentemente atacaram clientes no golpe de engenharia social falavam inglês nativo da América do Norte.
De acordo com uma fonte que conhece os salários dos funcionários da BPO, os funcionários da TaskUs na Índia têm um salário mensal entre 500 e 700 dólares. A TaskUs recusou-se a comentar. Garcia disse à revista Fortune que, embora esse número seja superior ao PIB per capita da Índia, os baixos salários dos atendentes de serviço ao cliente muitas vezes os tornam mais propensos a aceitar subornos. "É evidente que este é o elo mais fraco da cadeia, pois eles têm um incentivo econômico para aceitar subornos," acrescentou.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Coinbase dados de vazamento: o papel do centro de atendimento ao cliente na Índia e do grupo de hackers adolescentes
Escrito por: Ben Weiss, Jeff John Roberts
Compilado por: Luffy, Foresight News
O cofundador e CEO da Coinbase, Brian Armstrong, fez uma palestra em um evento em Bangalore, na Índia, em 2022
No dia 15 de maio de 2025, a Coinbase revelou que os dados pessoais de dezenas de milhares de seus clientes foram roubados, o que representa o maior incidente de segurança na história da empresa, com perdas previstas de até 400 milhões de dólares. Esta violação de dados é notável não apenas pela sua escala, mas também pelos métodos de ataque dos hackers: subornar funcionários de atendimento ao cliente no exterior para obter informações confidenciais dos clientes.
A Coinbase anunciou publicamente que pagará 20 milhões de dólares em recompensas a denunciantes que fornecerem pistas que ajudem na captura e condenação de criminosos, mas revelou muito pouco sobre a identidade dos atacantes ou os detalhes do ataque.
Uma recente pesquisa da revista "Fortune" (incluindo a análise de emails entre a Coinbase e um hacker) revelou novos detalhes sobre o evento, sugerindo que uma rede solta composta por jovens hackers anglófonos é uma das partes responsáveis. Ao mesmo tempo, os resultados da pesquisa também destacaram que os chamados BPO (unidades de terceirização de processos de negócios) são um ponto fraco nas operações de segurança das empresas de tecnologia.
Traição interna: o atendimento ao cliente terceirizado torna-se a brecha
A história começa com uma pequena empresa pública chamada TaskUs, localizada em New Braunfels, Texas. Tal como outras BPOs, a empresa fornece serviços de atendimento ao cliente a grandes empresas de tecnologia, empregando funcionários no exterior a baixo custo. Segundo um porta-voz da empresa, em janeiro deste ano, a TaskUs demitiu 226 funcionários que trabalhavam para a Coinbase em seu centro de serviços localizado em Indore, na Índia.
De acordo com documentos apresentados à Comissão de Valores Mobiliários dos Estados Unidos, desde 2017, a TaskUs tem fornecido pessoal de atendimento ao cliente para a Coinbase, uma parceria que economizou uma quantidade significativa de custos de mão de obra para este gigante americano de encriptação. Mas a questão é: quando os clientes enviam e-mails perguntando sobre suas contas ou novos produtos da Coinbase, é provável que estejam conversando com funcionários da TaskUs no exterior. Como os salários desses agentes são inferiores aos dos funcionários locais nos EUA, eles são mais suscetíveis a subornos.
"No início deste ano, descobrimos que duas pessoas acessaram ilegalmente as informações de um de nossos clientes," disse um porta-voz da TaskUs à revista Fortune, ao se referir à Coinbase. "Acreditamos que essas duas pessoas estavam empregadas em uma atividade criminosa mais ampla e organizada contra a Coinbase, que também afetou muitos outros fornecedores que prestam serviços à Coinbase."
De acordo com os documentos regulatórios da Coinbase, a TaskUs demitiu funcionários em janeiro deste ano, a menos de um mês após a Coinbase descobrir que os dados dos clientes haviam sido roubados (Nota: a Coinbase descobriu a violação de dados em dezembro de 2024). Na terça-feira, uma ação coletiva federal apresentada em Nova Iorque em nome dos clientes da Coinbase alega que a TaskUs foi negligente na proteção dos dados dos clientes. "Embora não possamos comentar sobre o litígio, acreditamos que essas alegações são infundadas e nos defenderemos," afirmou um porta-voz da TaskUs, "colocamos a proteção dos dados dos clientes como a maior prioridade e continuaremos a reforçar nossos protocolos de segurança globais e programas de treinamento."
Uma fonte informada sobre o incidente de segurança disse que os hackers também atacaram com sucesso algumas outras empresas de BPO, e a natureza dos dados roubados variava em cada incidente.
Os dados roubados não foram suficientes para os hackers invadirem os cofres de criptomoedas da Coinbase, mas forneceram uma riqueza de informações para ajudar os criminosos a se disfarçarem de falso atendimento ao cliente da Coinbase para entrar em contato com os clientes e convencê-los a entregar seus criptoativos. A empresa disse que os hackers roubaram os dados de mais de 69.000 clientes, mas não disse quantos deles foram vítimas dos chamados "golpes de engenharia social". Neste caso, o golpe de engenharia social envolveu criminosos usando dados roubados para se passar por funcionários da Coinbase para convencer as vítimas a transferir seus criptoativos.
A Coinbase declarou em um comunicado: "Como já divulgamos, recentemente descobrimos que um ator de ameaça havia solicitado informações de contas de clientes que podiam ser rastreadas até dezembro de 2024 a um atendimento ao cliente no exterior. Notificamos os usuários afetados e as autoridades regulatórias, cortamos o contato com o pessoal da TaskUs envolvido e outros atendimentos ao cliente no exterior, e reforçamos o controle." O comunicado também acrescentou que está compensando os clientes que perderam dinheiro na fraude.
Fraudes de engenharia social realizadas por falsos representantes de empresas não são novidade, mas a escala dos ataques dos hackers contra empresas de BPO é bastante rara. Embora ninguém tenha identificado claramente os criminosos, algumas pistas apontam fortemente para uma organização solta composta por jovens hackers que falam inglês.
Jovens Hacker de Gangues: "Eles vêm dos videojogos"
Nos dias seguintes à divulgação do incidente de vazamento de dados da Coinbase em meados de maio, a revista Fortune conversou no Telegram com um homem que se autodenominava "puffy party", afirmando ser um dos hackers.
Além disso, dois pesquisadores de segurança que conversaram com esse hacker anônimo disseram à revista Fortune que acreditam que ele é confiável. Um deles disse: "Com base no que ele compartilhou comigo, eu analisei seriamente suas declarações e não consegui encontrar evidências de que suas afirmações são falsas." Ambos os pesquisadores pediram anonimato, pois temem receber intimações por conversarem com o suposto hacker.
Durante a comunicação, o homem compartilhou muitas capturas de tela, afirmando que estas eram correspondências por e-mail com a equipa de segurança da Coinbase. O nome que usou ao comunicar-se com a Coinbase foi "Lennard Schroeder". Ele também compartilhou uma captura de tela de uma conta pertencente a um ex-executivo da Coinbase, que mostrava transações encriptação e uma grande quantidade de detalhes pessoais.
A Coinbase não negou a autenticidade dessas capturas de tela.
Este e-mail compartilhado pelo autodenominado Hacker inclui uma ameaça de extorsão de 20 milhões de dólares em Bitcoin (a Coinbase se recusou a pagar), bem como comentários sarcásticos sobre o grupo de hackers comprar cabelo para o CEO careca da empresa, Brian Armstrong, com parte do dinheiro roubado. "Estamos dispostos a patrocinar uma cirurgia capilar, para que ele possa viajar pelo mundo com estilo," escreveu o Hacker.
Na mensagem do Telegram, esta pessoa (que a revista Fortune soube da existência através de um investigador de segurança) expressou desprezo pela Coinbase.
Muitos casos de roubo de criptomoedas foram perpetrados por gangues criminosas russas ou pela milícia norte-coreana, mas alega-se que este ataque de hacker foi realizado por uma aliança solta composta por adolescentes e jovens na casa dos 20 anos, conhecidos como "Comm" ou "Com".
Nos últimos dois anos, relatórios sobre o grupo Comm apareceram nas reportagens de outros incidentes de hackers, incluindo um artigo do New York Times mais cedo este mês, onde um suspeito de implementar uma série de roubos de encriptação afirmou ser membro da organização. De acordo com o Wall Street Journal, em 2023, investigadores identificaram que hackers associados à organização atacaram vários cassinos operando online em Las Vegas e tentaram extorquir 30 milhões de dólares do MGM Resorts.
Ao contrário dos hackers encriptação da Rússia e da Coreia do Norte, que geralmente só buscam dinheiro, os membros da gangue Comm tendem a querer chamar a atenção e buscar a adrenalina das travessuras. Às vezes, eles colaboram em ataques de hacker, mas também competem entre si para ver quem rouba mais.
"Eles vêm dos videogames e levam suas altas pontuações para o mundo real," disse Josh Cooper-Duckett, diretor de investigações da empresa de investigação emcriptação Cryptoforensic Investigators, "neste mundo, suas pontuações são quanto dinheiro eles roubaram."
Na mensagem do Telegram, este suposto Hacker afirmou que os membros da Comm são responsáveis por diferentes etapas do roubo. A sua equipe suborna o atendimento ao cliente e coleta dados de clientes, que depois entrega a outros membros da equipe que são especialistas em fraudes de engenharia social. Eles acrescentaram que diferentes grupos afiliados da Comm coordenam como executar as diferentes partes da ação em plataformas sociais como Telegram e Discord, e distribuem o produto do crime.
Sergio Garcia, fundador da empresa de investigação de criptomoedas Tracelon, disse à Fortune que a descrição dos hackers sobre o ataque à Coinbase corresponde às suas observações de como as gangues da Comm operam e outros golpes de engenharia social cripto. Pessoas familiarizadas com o assunto disseram que as pessoas que recentemente atacaram clientes no golpe de engenharia social falavam inglês nativo da América do Norte.
De acordo com uma fonte que conhece os salários dos funcionários da BPO, os funcionários da TaskUs na Índia têm um salário mensal entre 500 e 700 dólares. A TaskUs recusou-se a comentar. Garcia disse à revista Fortune que, embora esse número seja superior ao PIB per capita da Índia, os baixos salários dos atendentes de serviço ao cliente muitas vezes os tornam mais propensos a aceitar subornos. "É evidente que este é o elo mais fraco da cadeia, pois eles têm um incentivo econômico para aceitar subornos," acrescentou.