На відміну від російських і північнокорейських хакерів, які зазвичай лише прагнуть грошей, учасники банд Comm, як правило, хочуть привернути увагу та насолоджуються відчуттям розваги.
Сценарій: Бен Вайс, Джефф Джон Робертс
Упорядник: Луффі, Foresight News
!
Співзасновник і генеральний директор Coinbase Браян Армстронг виступив на заході в Бангалорі, Індія, у 2022 році
15 травня 2025 року Coinbase оголосила, що особисті дані десятків тисяч її клієнтів були вкрадені, що є найбільшою безпековою подією в історії компанії, яка, як очікується, призведе до збитків у розмірі до 400 мільйонів доларів. Це витік даних вражає не лише своїм масштабом, а й методами атаки хакерів: підкупом закордонних співробітників служби підтримки клієнтів для отримання конфіденційної інформації про клієнтів.
Coinbase публічно оголосила, що виплатить 20 мільйонів доларів винагороди тим, хто надасть підказки, що допоможуть у затриманні та засудженні злочинців, але про особу нападників або деталі хакерської атаки було розкрито дуже мало.
Нещодавнє розслідування журналу Fortune, яке включало огляд електронних листів між Coinbase і хакером, розкрило нові подробиці інциденту, припускаючи, що частково відповідальна за це вільна мережа молодих англомовних хакерів. У той же час результати підкреслюють, що так звані BPO (підрозділи аутсорсингу бізнес-процесів) є слабкою ланкою в операціях безпеки технологічних компаній.
Внутрішній злочин: аутсорсингові служби підтримки стали вразливим місцем
Історія починається з невеликої публічної компанії TaskUs у Нью-Браунфелсі, штат Техас. Як і інші BPO, компанія надає послуги клієнтів великим технологічним компаніям за низькою ціною, наймаючи закордонних працівників. За словами представника компанії, у січні цього року TaskUs звільнила 226 працівників, які працювали на Coinbase, з її сервісного центру в Індірі, Індія.
Згідно з документами, поданими до Комісії з цінних паперів і бірж США, з 2017 року TaskUs надає обслуговування клієнтів для Coinbase, ця співпраця заощадила великі витрати на робочу силу для цього американського гіганта шифрування. Але питання в тому: коли клієнти надсилають електронні листи з запитом про свої акаунти або нові продукти Coinbase, вони, швидше за все, спілкуються з працівниками TaskUs за кордоном. Оскільки зарплата цих агентів нижча, ніж у працівників в США, їх легше підкупити.
«На початку цього року ми виявили, що двоє осіб незаконно отримали доступ до інформації одного з наших клієнтів», — сказав представник TaskUs у розмові з журналом Fortune, — «ми вважаємо, що ці двоє людей були найняті в рамках більш широкої, організованої злочинної діяльності проти Coinbase, яка також вплинула на багато інших постачальників, що надають послуги Coinbase.»
Згідно з нормативними документами Coinbase, TaskUs звільнила співробітників у січні, менш ніж через місяць після того, як Coinbase виявила, що дані клієнтів були вкрадені (примітка: Coinbase виявила витік даних у грудні 2024 року). У вівторок федеральний колективний позов, поданий в Нью-Йорку від імені клієнтів Coinbase, звинуватив TaskUs в недбалості в захисті даних клієнтів. «Хоча ми не можемо коментувати позов, ми вважаємо, що ці звинувачення є необґрунтованими, і ми будемо захищатися», — сказав представник TaskUs, «Ми вважаємо захист даних клієнтів нашим найвищим пріоритетом і продовжуватимемо зміцнювати наші глобальні протоколи безпеки та навчальні програми».
Один з обізнаних осіб, який знає про цю безпекову подію, повідомив, що хакери також успішно атакували деякі інші компанії BPO, і що природа вкрадених даних у кожному випадку різна.
Викрадених даних було недостатньо для того, щоб хакери зламали криптосховища Coinbase, але вони надали велику кількість інформації, щоб допомогти злочинцям замаскуватися під фальшиву службу підтримки клієнтів Coinbase, щоб зв'язатися з клієнтами та переконати їх здати свої криптоактиви. Компанія заявила, що хакери вкрали дані понад 69 000 клієнтів, але не повідомила, скільки з них стали жертвами так званих «шахрайств соціальної інженерії». У цьому випадку шахрайство з соціальною інженерією включало злочинців, які використовували вкрадені дані, щоб видати себе за співробітників Coinbase, щоб переконати жертв перевести свої криптоактиви.
Coinbase в своєму заяві зазначила: «Як ми вже розкрили, ми нещодавно виявили загрозливу особу, яка просила закордонну службу підтримки отримати інформацію про облікові записи клієнтів, що можна відстежити до грудня 2024 року. Ми поінформували постраждалих користувачів та регуляторні органи, розірвали зв'язки з причетними працівниками TaskUs та іншими закордонними службами підтримки, а також посилили контроль». У заяві також додається, що проводиться компенсація для клієнтів, які зазнали фінансових втрат через шахрайство.
Соціальна інженерія, що здійснюється під виглядом представників компанії, не є новим явищем, але масштаби атак, які хакери здійснили проти компаній BPO, є досить рідкісними. Хоча ніхто ще не ідентифікував злочинців, деякі сліди сильно вказують на неформальну групу молодих хакерів, що розмовляють англійською.
Підліткові хакерські групи: «Вони походять з відеоігор»
У середині травня, через кілька днів після розкриття витоку даних Coinbase, журнал «Fortune» спілкувався в Telegram з чоловіком, який назвав себе «puffy party» і стверджував, що він один із Хакерів.
Інші двоє фахівців з безпеки, які спілкувалися з цим анонімним Хакером, розповіли журналу «Фортуна», що вважають цю особу надійною. Один з них сказав: «Виходячи з того, що він поділився зі мною, я ретельно проаналізував його заяви і не зміг знайти жодних доказів того, що його твердження є неправдивими». Обидва дослідники попросили залишитися анонімними, оскільки вони бояться, що можуть отримати повістку через спілкування з так званим Хакером.
У спілкуванні цей чоловік поділився багатьма скріншотами, стверджуючи, що це електронна переписка з командою безпеки Coinbase. Ім'я, під яким він спілкувався з Coinbase, було «Lennard Schroeder». Він також поділився скріншотом облікового запису колишнього керівника Coinbase, на якому відображалися шифрування торгів і велика кількість особистих даних.
Coinbase не заперечує автентичності цих скріншотів.
Електронні листи, якими поділився самопроголошений хакер, включали погрози вимагати 20 мільйонів доларів у біткойнах (Coinbase відмовилася платити) і глузливі коментарі про те, що банда хакерів використає частину вкрадених грошей для покупки волосся для лисого генерального директора компанії Брайана Армстронга. "Ми готові спонсорувати пересадку волосся, щоб він міг подорожувати світом зі стилем", - написав хакер.
У повідомленні Telegram ця особа (яка, за інформацією з журналу «Форбс», була виявлена одним з дослідників безпеки) висловила зневагу до Coinbase.
Багато випадків крадіжки криптовалюти здійснюються російськими кримінальними угрупуваннями або північнокорейською армією, але стверджується, що цього разу хакер був частиною неформального альянсу, який складається з групи підлітків та молодих людей у віці від 20 років, відомих як «Comm» або «Com».
За останні два роки повідомлення про банду Comm з'являлися у висвітленні в засобах масової інформації інших хакерських інцидентів, включаючи статтю New York Times на початку цього місяця, в якій підозрюваний, підозрюваний у скоєнні серії крадіжок криптовалюти, стверджував, що є членом групи. За даними Wall Street Journal, у 2023 році хакери, ідентифіковані слідчими, як угруповання, атакувало кілька казино, що працюють онлайн у Лас-Вегасі, і намагалося виманити у MGM Resorts 30 мільйонів доларів.
На відміну від російських та північнокорейських хакерів, які зазвичай лише прагнуть грошей, учасники банди Comm часто хочуть привернути увагу та отримати задоволення від витівок. Іноді вони співпрацюють для здійснення хакерських атак, але також змагаються один з одним, щоб побачити, хто вкраде більше.
«Вони прийшли з відеоігор і принесли високі бали у реальний світ», — сказав директор з розслідувань криптофорензіки компанії Cryptoforensic Investigators Джош Купер-Дакетт, — «в цьому світі їхні бали — це те, скільки грошей вони вкрали.»
У повідомленні Telegram цей так званий Хакер заявив, що члени Comm спеціалізуються на різних етапах грабежу. Його команда підкуповує службу підтримки та збирає дані клієнтів, а потім передає ці дані іншим членам команди, які є експертами з соціальної інженерії. Вони додали, що різні філії Comm координують на соціальних платформах, таких як Telegram та Discord, як виконувати різні частини операції та розподіляти здобич.
Засновник компанії Tracelon з шифрування, Сергіо Гарсія, повідомив журналу «Фортуна», що опис атаки на Coinbase, зроблений хакерами, відповідає його спостереженням за способом роботи банди Comm та іншими шахрайськими схемами з шифрування. Джерела повідомляють, що нещодавно клієнтів атакували люди, які говорять на чистій північноамериканській англійській.
За словами джерела, яке знає зарплати співробітників BPO, співробітники TaskUs в Індії заробляють від $500 до $700 на місяць. У TaskUs відмовилися від коментарів. Гарсія розповів Fortune, що хоча ця цифра вища, ніж ВВП на душу населення в Індії, низька заробітна плата в обслуговуванні клієнтів, як правило, робить їх більш схильними брати хабарі. "Очевидно, що це найслабша ланка в ланцюжку, тому що у них є фінансовий стимул приймати хабарі", - додав він.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Інсайдерська інформація про витік даних Coinbase: індійський центр обслуговування клієнтів і підлітковий хакерський гурток
Сценарій: Бен Вайс, Джефф Джон Робертс
Упорядник: Луффі, Foresight News
!
Співзасновник і генеральний директор Coinbase Браян Армстронг виступив на заході в Бангалорі, Індія, у 2022 році
15 травня 2025 року Coinbase оголосила, що особисті дані десятків тисяч її клієнтів були вкрадені, що є найбільшою безпековою подією в історії компанії, яка, як очікується, призведе до збитків у розмірі до 400 мільйонів доларів. Це витік даних вражає не лише своїм масштабом, а й методами атаки хакерів: підкупом закордонних співробітників служби підтримки клієнтів для отримання конфіденційної інформації про клієнтів.
Coinbase публічно оголосила, що виплатить 20 мільйонів доларів винагороди тим, хто надасть підказки, що допоможуть у затриманні та засудженні злочинців, але про особу нападників або деталі хакерської атаки було розкрито дуже мало.
Нещодавнє розслідування журналу Fortune, яке включало огляд електронних листів між Coinbase і хакером, розкрило нові подробиці інциденту, припускаючи, що частково відповідальна за це вільна мережа молодих англомовних хакерів. У той же час результати підкреслюють, що так звані BPO (підрозділи аутсорсингу бізнес-процесів) є слабкою ланкою в операціях безпеки технологічних компаній.
Внутрішній злочин: аутсорсингові служби підтримки стали вразливим місцем
Історія починається з невеликої публічної компанії TaskUs у Нью-Браунфелсі, штат Техас. Як і інші BPO, компанія надає послуги клієнтів великим технологічним компаніям за низькою ціною, наймаючи закордонних працівників. За словами представника компанії, у січні цього року TaskUs звільнила 226 працівників, які працювали на Coinbase, з її сервісного центру в Індірі, Індія.
Згідно з документами, поданими до Комісії з цінних паперів і бірж США, з 2017 року TaskUs надає обслуговування клієнтів для Coinbase, ця співпраця заощадила великі витрати на робочу силу для цього американського гіганта шифрування. Але питання в тому: коли клієнти надсилають електронні листи з запитом про свої акаунти або нові продукти Coinbase, вони, швидше за все, спілкуються з працівниками TaskUs за кордоном. Оскільки зарплата цих агентів нижча, ніж у працівників в США, їх легше підкупити.
«На початку цього року ми виявили, що двоє осіб незаконно отримали доступ до інформації одного з наших клієнтів», — сказав представник TaskUs у розмові з журналом Fortune, — «ми вважаємо, що ці двоє людей були найняті в рамках більш широкої, організованої злочинної діяльності проти Coinbase, яка також вплинула на багато інших постачальників, що надають послуги Coinbase.»
Згідно з нормативними документами Coinbase, TaskUs звільнила співробітників у січні, менш ніж через місяць після того, як Coinbase виявила, що дані клієнтів були вкрадені (примітка: Coinbase виявила витік даних у грудні 2024 року). У вівторок федеральний колективний позов, поданий в Нью-Йорку від імені клієнтів Coinbase, звинуватив TaskUs в недбалості в захисті даних клієнтів. «Хоча ми не можемо коментувати позов, ми вважаємо, що ці звинувачення є необґрунтованими, і ми будемо захищатися», — сказав представник TaskUs, «Ми вважаємо захист даних клієнтів нашим найвищим пріоритетом і продовжуватимемо зміцнювати наші глобальні протоколи безпеки та навчальні програми».
Один з обізнаних осіб, який знає про цю безпекову подію, повідомив, що хакери також успішно атакували деякі інші компанії BPO, і що природа вкрадених даних у кожному випадку різна.
Викрадених даних було недостатньо для того, щоб хакери зламали криптосховища Coinbase, але вони надали велику кількість інформації, щоб допомогти злочинцям замаскуватися під фальшиву службу підтримки клієнтів Coinbase, щоб зв'язатися з клієнтами та переконати їх здати свої криптоактиви. Компанія заявила, що хакери вкрали дані понад 69 000 клієнтів, але не повідомила, скільки з них стали жертвами так званих «шахрайств соціальної інженерії». У цьому випадку шахрайство з соціальною інженерією включало злочинців, які використовували вкрадені дані, щоб видати себе за співробітників Coinbase, щоб переконати жертв перевести свої криптоактиви.
Coinbase в своєму заяві зазначила: «Як ми вже розкрили, ми нещодавно виявили загрозливу особу, яка просила закордонну службу підтримки отримати інформацію про облікові записи клієнтів, що можна відстежити до грудня 2024 року. Ми поінформували постраждалих користувачів та регуляторні органи, розірвали зв'язки з причетними працівниками TaskUs та іншими закордонними службами підтримки, а також посилили контроль». У заяві також додається, що проводиться компенсація для клієнтів, які зазнали фінансових втрат через шахрайство.
Соціальна інженерія, що здійснюється під виглядом представників компанії, не є новим явищем, але масштаби атак, які хакери здійснили проти компаній BPO, є досить рідкісними. Хоча ніхто ще не ідентифікував злочинців, деякі сліди сильно вказують на неформальну групу молодих хакерів, що розмовляють англійською.
Підліткові хакерські групи: «Вони походять з відеоігор»
У середині травня, через кілька днів після розкриття витоку даних Coinbase, журнал «Fortune» спілкувався в Telegram з чоловіком, який назвав себе «puffy party» і стверджував, що він один із Хакерів.
Інші двоє фахівців з безпеки, які спілкувалися з цим анонімним Хакером, розповіли журналу «Фортуна», що вважають цю особу надійною. Один з них сказав: «Виходячи з того, що він поділився зі мною, я ретельно проаналізував його заяви і не зміг знайти жодних доказів того, що його твердження є неправдивими». Обидва дослідники попросили залишитися анонімними, оскільки вони бояться, що можуть отримати повістку через спілкування з так званим Хакером.
У спілкуванні цей чоловік поділився багатьма скріншотами, стверджуючи, що це електронна переписка з командою безпеки Coinbase. Ім'я, під яким він спілкувався з Coinbase, було «Lennard Schroeder». Він також поділився скріншотом облікового запису колишнього керівника Coinbase, на якому відображалися шифрування торгів і велика кількість особистих даних.
Coinbase не заперечує автентичності цих скріншотів.
Електронні листи, якими поділився самопроголошений хакер, включали погрози вимагати 20 мільйонів доларів у біткойнах (Coinbase відмовилася платити) і глузливі коментарі про те, що банда хакерів використає частину вкрадених грошей для покупки волосся для лисого генерального директора компанії Брайана Армстронга. "Ми готові спонсорувати пересадку волосся, щоб він міг подорожувати світом зі стилем", - написав хакер.
У повідомленні Telegram ця особа (яка, за інформацією з журналу «Форбс», була виявлена одним з дослідників безпеки) висловила зневагу до Coinbase.
Багато випадків крадіжки криптовалюти здійснюються російськими кримінальними угрупуваннями або північнокорейською армією, але стверджується, що цього разу хакер був частиною неформального альянсу, який складається з групи підлітків та молодих людей у віці від 20 років, відомих як «Comm» або «Com».
За останні два роки повідомлення про банду Comm з'являлися у висвітленні в засобах масової інформації інших хакерських інцидентів, включаючи статтю New York Times на початку цього місяця, в якій підозрюваний, підозрюваний у скоєнні серії крадіжок криптовалюти, стверджував, що є членом групи. За даними Wall Street Journal, у 2023 році хакери, ідентифіковані слідчими, як угруповання, атакувало кілька казино, що працюють онлайн у Лас-Вегасі, і намагалося виманити у MGM Resorts 30 мільйонів доларів.
На відміну від російських та північнокорейських хакерів, які зазвичай лише прагнуть грошей, учасники банди Comm часто хочуть привернути увагу та отримати задоволення від витівок. Іноді вони співпрацюють для здійснення хакерських атак, але також змагаються один з одним, щоб побачити, хто вкраде більше.
«Вони прийшли з відеоігор і принесли високі бали у реальний світ», — сказав директор з розслідувань криптофорензіки компанії Cryptoforensic Investigators Джош Купер-Дакетт, — «в цьому світі їхні бали — це те, скільки грошей вони вкрали.»
У повідомленні Telegram цей так званий Хакер заявив, що члени Comm спеціалізуються на різних етапах грабежу. Його команда підкуповує службу підтримки та збирає дані клієнтів, а потім передає ці дані іншим членам команди, які є експертами з соціальної інженерії. Вони додали, що різні філії Comm координують на соціальних платформах, таких як Telegram та Discord, як виконувати різні частини операції та розподіляти здобич.
Засновник компанії Tracelon з шифрування, Сергіо Гарсія, повідомив журналу «Фортуна», що опис атаки на Coinbase, зроблений хакерами, відповідає його спостереженням за способом роботи банди Comm та іншими шахрайськими схемами з шифрування. Джерела повідомляють, що нещодавно клієнтів атакували люди, які говорять на чистій північноамериканській англійській.
За словами джерела, яке знає зарплати співробітників BPO, співробітники TaskUs в Індії заробляють від $500 до $700 на місяць. У TaskUs відмовилися від коментарів. Гарсія розповів Fortune, що хоча ця цифра вища, ніж ВВП на душу населення в Індії, низька заробітна плата в обслуговуванні клієнтів, як правило, робить їх більш схильними брати хабарі. "Очевидно, що це найслабша ланка в ланцюжку, тому що у них є фінансовий стимул приймати хабарі", - додав він.