1 पॉइंट द्वारा GN⁺ 2025-05-16 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Coinbase ने खुलासा किया कि विदेशी support staff को खरीदकर customer data चुराया गया, और हमलावर इसे social engineering attack में इस्तेमाल करना चाहते थे; incident response cost का अनुमान अधिकतम $400 million तक है
  • हमलावरों ने दावा किया कि उन्होंने 11 मई को कुछ customer account information और internal documents हासिल किए, और इन्हें सार्वजनिक न करने के बदले $20 million की मांग की
  • लीक हुए data में नाम, contact details, masked bank account information, ID image और account balance शामिल थे, लेकिन passwords, private keys, funds उजागर नहीं हुए और Coinbase Prime account प्रभावित नहीं हुए
  • Coinbase ने फिरौती देने से इनकार किया है और law enforcement के साथ काम कर रहा है; संबंधित कर्मचारियों को बर्खास्त किया गया, संभावित रूप से प्रभावित ग्राहकों को चेतावनी दी गई, और fraud monitoring protection को मजबूत किया गया
  • कंपनी ने हमले के जिम्मेदार लोगों की गिरफ्तारी और सजा तक पहुंचाने वाली जानकारी के लिए $20 million reward घोषित किया है, और जिन ग्राहकों ने हमलावरों के झांसे में आकर धन भेजा है उन्हें refund देने की बात कही है

विदेशी support staff को खरीदकर किया गया data breach

  • Coinbase के अनुसार cyber criminals ने विदेशी support agents को खरीदकर customer data चुराया और इस data को social engineering attack में इस्तेमाल करने की कोशिश की
  • इस घटना से निपटने की लागत अधिकतम $400 million तक पहुंच सकती है
  • सुबह के कारोबार में Coinbase का शेयर 6% से अधिक गिर गया

$20 million की मांग और Coinbase की प्रतिक्रिया

  • Coinbase को 11 मई को एक email मिला, जिसमें दावा किया गया था कि कुछ customer account information और internal documents हासिल कर लिए गए हैं
    • कंपनी ने SEC filing में बताया कि internal documents में customer service और account management systems से जुड़ी सामग्री शामिल थी
  • हमलावरों ने इस जानकारी को सार्वजनिक न करने के बदले $20 million की मांग की
  • Coinbase ने फिरौती देने से इनकार किया और law enforcement के साथ मिलकर मामले की जांच कर रहा है
  • कंपनी ने blog post में कहा कि मांग मानने के बजाय वह अपराधियों की गिरफ्तारी और सजा तक पहुंचाने वाली जानकारी के लिए $20 million reward देगी

उजागर हुई जानकारी और प्रभाव का दायरा

  • प्रभावित data में संवेदनशील customer information शामिल थी
    • नाम, पता, फोन नंबर, email
    • masked bank account number और identifiers
    • Social Security number के आखिरी 4 अंक
    • सरकारी ID image
    • account balance
  • passwords, private keys, funds उजागर नहीं हुए
  • Coinbase Prime account प्रभावित नहीं हुए
  • जिन ग्राहकों ने हमलावरों के झांसे में आकर धन भेजा, उन्हें refund दिया जाएगा

internal access का दुरुपयोग और पहले से की गई पहचान

  • हमलावरों ने विदेशी contractors और support roles में काम करने वाले कर्मचारियों को पैसे देकर जानकारी हासिल की
  • खरीदे गए insiders ने customer support systems तक अपनी पहुंच का दुरुपयोग कर कुछ customer account data चुरा लिया
  • Coinbase ने पिछले कुछ महीनों में इस breach का स्वतंत्र रूप से पता लगा लिया था और संबंधित कर्मचारियों को तुरंत बर्खास्त कर दिया
  • जिन ग्राहकों के data access होने की संभावना थी उन्हें चेतावनी दी गई, और fraud monitoring protection को मजबूत किया गया

Coinbase का हालिया business momentum

  • Coinbase अमेरिका का सबसे बड़ा cryptocurrency exchange चलाता है
  • पिछले एक हफ्ते में कंपनी ने ऐसी acquisition की घोषणा की जिसे global expansion में मददगार माना जा रहा है, और अगले हफ्ते से लागू होने वाला S&P 500 में उसका शामिल होना भी तय हो गया है
  • पिछले हफ्ते earnings conference call में CEO Brian Armstrong ने कहा कि आने वाले 5 से 10 वर्षों में Coinbase को दुनिया का नंबर 1 financial services app बनाना उनका लक्ष्य है

1 टिप्पणियां

 
GN⁺ 2025-05-16
Hacker News की राय
  • SEC फाइलिंग के मूल टेक्स्ट का लिंक: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • इस तरफ से, या शायद लीक हुआ डेटा खरीदने वाले किसी व्यक्ति से, मुझे लगातार spear phishing कॉल आ रही हैं
    यह वही आम तरीका है जिसमें वे कहते हैं कि संभावित धोखाधड़ी वाले transaction की पुष्टि करनी है; वे अमेरिकी लहजे में परफेक्ट अंग्रेज़ी बोलते हैं, बहुत दोस्ताना लगते हैं और उन्हें account balance तक पता है
    शुक्र है, पहली ही कॉल में मुझे समझ आ गया कि यह scam है, और बाकी कॉल्स को Google की call screening feature ने अच्छी तरह रोक दिया
    अगर हो सके तो मैं उन्हें Kitboga के पास redirect करना चाहूंगा: https://www.youtube.com/watch?v=HNziOoXDBeg

    • अगर इस leak से पहले कभी आपने Coinbase में कोई meaningful asset रखा था, तो spear phishing आपकी सबसे छोटी चिंता है
      Coinbase ने सिर्फ नाम और पता ही नहीं, बल्कि balance, transaction history, government ID images भी सौंप दिए हैं, और बड़े cryptocurrency balances रखने वाले लोगों पर सड़क पर या घर में हमले हो रहे हैं, या उनके परिवारवालों को ransom के लिए अगवा किया जा रहा है
      यहां “बड़ी” रकम 10,000 डॉलर या उससे कम भी हो सकती है
      अब तक सबसे अच्छा बचाव गोपनीयता बनाए रखना था, और real name से जुड़ सकने वाले तरीके से cryptocurrency के बारे में सार्वजनिक रूप से बात न करना था, लेकिन Coinbase की वजह से वह defence line खत्म हो गई
      बदमाश अब जान सकते हैं कि किसके पास कभी Coinbase पर meaningful balance था, क्या उसने वह balance cash out किया और कितना था, और क्या उसने exchange से बाहर अपने wallet में tokens transfer किए थे
      अब उन्हें पता है कि किसे kidnap करना worthwhile हो सकता है और वह कहां रहता है; नाम और घर का पता Google पर search करने से अक्सर वे परिवार के नाम भी मिल जाते हैं जिन्हें धमकाने या kidnap करने के लिए target बनाया जा सकता है
      Coinbase को असल damage cost की पूरी भरपाई करने के लिए मजबूर शायद नहीं किया जाएगा, जबकि वह cost कंपनी को bankrupt करने लायक होगी
    • मैंने Pixel से iPhone पर switch किया है और spam calls की संख्या देखकर shock में हूं
      सोचता हूं iPhone users इससे कैसे निपटते हैं
    • मैंने कोशिश भी नहीं की, फिर भी मुझे नियमित रूप से Coinbase login verification code वाले SMS आने लगे हैं
      Microsoft account के साथ भी यही हो रहा है
      आम तौर पर मैं बस ignore कर देता हूं, लेकिन लगता है कोई test कर रहा है कि मेरे email से login हो सकता है या नहीं
    • मैं सोच रहा हूं कि ऐसे spear phishing calls बढ़े हुए कितने समय से हो गए हैं
      यह explanation मानना मुश्किल है कि Coinbase को “cybercriminal” से संपर्क होने तक यह systemic issue नहीं दिखा
    • AI के बाद scams ज्यादा sophisticated हो गए हैं, और आम spelling mistakes लगभग गायब हो गई हैं
      कुछ समय पहले curiosity में एक phishing email देख रहा था, तो एक अजीब Unicode character का गलत translation दिखा, और तुरंत समझ गया कि यह खराब translation का निशान है
      perfect तो नहीं है, लेकिन काफी अच्छी तरह बनाया गया है
  • समस्या यह है कि leaked data वैसा दिखता है जो account recovery में इस्तेमाल होता है
    यानी आपकी गलती हो या Coinbase की, अगर account access खो गया तो recovery process अब simple नहीं रह सकती, और hackers इस leaked info का इस्तेमाल account “recover” करने की कोशिश में कर सकते हैं
    Coinbase को offline branches की जरूरत है। ऐसी जगहें होनी चाहिए जहां account recovery जैसे काम सामने से संभाले जा सकें, पैसे चुराने की कोशिश करने वाले लोगों को पकड़ा और prosecute किया जा सके, और जो आम तौर पर विदेश से operate करने वाले चोरों के लिए भी बड़ी barrier बनें
    यहां एकमात्र solution YubiKey जैसी hardware two-factor authentication है

    • cryptocurrency industry लगातार तेज़ी से फिर से खोज रही है कि global financial system आखिर मौजूद क्यों है
      आपने अभी जो describe किया, वही है जिसे कई cryptocurrency supporters bank कहते हैं
    • वह तो बस bank है
    • अगर YubiKey जैसी hardware two-factor authentication खो जाए तो क्या करना चाहिए? आखिर में फिर से account recovery step पर ही लौटना नहीं पड़ेगा?
    • अगर आपने कभी अपने control वाले wallet में पैसा भेजा है, तो उस key से message sign करवाना और Coinbase द्वारा recorded address से verify करना एक भरोसेमंद recovery factor हो सकता है
      वैसे भी cryptocurrency एक और public-key infrastructure ही है
    • account recovery में इस्तेमाल होने वाले data का 99% public records है या पहले ही दर्जनों बड़े data breaches में शामिल जानकारी है
  • मैंने Coinbase customer support से contact करके यह confirm करने की कोशिश की कि मैं affected हूं या नहीं
    AI bot पर समय बर्बाद करने के बाद मुझे इंसान से जोड़ा गया, लेकिन उस employee को breach के बारे में पता ही नहीं था और उसे बताने वाला मैं पहला व्यक्ति था

    • affected accounts को email भेजा गया है
      source: मैं affected हूं
    • आपने बस “वाह, हमें पता नहीं था और हमें यह बताने वाले आप पहले customer हैं” वाला script सुना
  • Coinbase को identity verification और authentication के लिए जरूरी से कहीं ज्यादा sensitive information रखनी पड़ी, इसकी वजह Know Your Customer regulations हैं
    passport photo चोरी हो जाए, और criminals या malicious Coinbase employees उस information से जो भी करें, उसकी जिम्मेदारी का कुछ हिस्सा सरकार को भी देना चाहिए

    • Know Your Customer regulations के लिए अच्छे कारण मौजूद हैं
      यहां समस्या government regulation नहीं, बल्कि private company द्वारा customer data को careless तरीके से handle करना है
      careless रहना सस्ता पड़ता है, और risk में पड़ी information company की नहीं बल्कि customers की होती है, इसलिए जब तक कानून से मजबूर न किया जाए, उसे ठीक से protect करने की incentive कम होती है
    • यह बहुत आसान blame shifting है
      ईमानदारी से explain करना चाहिए कि हर support agent को identity verification documents तक permanent access क्यों होना चाहिए
      वे documents सिर्फ Know Your Customer regulations के लिए जरूरी हैं
  • लगता है Coinbase अपने और तथाकथित “विदेशी malicious support agents” के बीच दूरी दिखाने की काफी कोशिश कर रहा है
    अगर वे Coinbase employees या contractors थे, तो बात यह हुई कि company ने effectively अपना data hackers को बेच दिया और hackers ने फिर ransom मांगा
    धोखे से पैसा भेजने वाले customers को compensate करना उचित है। क्योंकि Coinbase की actions से loss हुआ, यह lawsuit argument काफी स्पष्ट दिखता है
    ज्यादा दिलचस्प सवाल यह है कि जिन लोगों को घर बदलना, bank बदलना, email बदलना, security personnel hire करना आदि जरूरी लगा, क्या वे company से उसका कुछ या पूरा खर्च मांगने वाले lawsuit में जीत सकते हैं

    • ऐसी interpretation अजीब है
      अगर company employee ने policy तोड़ी, और शायद illegal तरीके से company internal data निकालकर पैसे के बदले hackers को दे दिया, तो “हमारी company ने data बेचा” कहना मुश्किल है
  • Coinbase ब्लॉग पोस्ट: https://www.coinbase.com/blog/protecting-our-customers-stand...
    उन्होंने कहा कि जिन ग्राहकों को social engineering attack के जरिए हमलावरों को पैसे भेजने के लिए धोखा दिया गया, उन्हें मुआवजा दिया जाएगा, और जिन ग्राहकों के डेटा तक पहुंच बनाई गई थी, उन्हें no-reply@info.coinbase.com से पहले ही ईमेल भेज दिया गया है
    प्रभावित ग्राहकों को भेजी गई सभी सूचनाएं 5/15 को Eastern Time सुबह 7:20 बजे भेजी गई थीं

    • no-reply का इस्तेमाल करना एक दिलचस्प फैसला है
      समझ आता है कि Coinbase जैसी कंपनी चलाना मुश्किल है, लेकिन centralized होना और customer support ही इसकी सबसे बड़ी ताकतें हैं, और यही चीजें इस तरह की social engineering को संभव भी बनाती हैं, इसलिए यह थोड़ा अजीब चुनाव लगता है
    • उन्होंने कहा कि “पासवर्ड, private keys, funds उजागर नहीं हुए और Coinbase Prime accounts प्रभावित नहीं हुए”, लेकिन मुझे उत्सुकता है कि Coinbase Prime accounts इस leak में शामिल क्यों नहीं थे
      पता नहीं Coinbase Prime के paid barrier के पीछे कोई अतिरिक्त data protection layer है, या फिर यह मानकर जानबूझकर उन्हें छोड़ा गया कि उनके users के ज्यादा अनुभवी होने की संभावना है
  • leak के विवरण के मुताबिक, लगता है कि हमलावरों ने अमेरिका के बाहर support का काम करने वाले कई contractors या कर्मचारियों को पैसे देकर Coinbase के internal systems से जानकारी इकट्ठा करवाई, जिन तक उन्हें काम के कारण access था
    leaked जानकारी को देखकर स्रोत के Philippines customer support होने की संभावना बहुत ज्यादा है
    वहां आमतौर पर मासिक वेतन $1,000 से कम होता है और entry-level पर $500 से भी कम हो सकता है, इसलिए $5,000 की रिश्वत tax-free एक साल से ज्यादा की कमाई बन सकती है
    इस dataset से कमाए जा सकने वाले पैसे को देखते हुए यह छोटा निवेश है
    leaked items में नाम, पता, फोन नंबर, ईमेल, masked Social Security number के आखिरी 4 अंक, masked bank account numbers और कुछ bank identifiers, driver’s license और passport जैसे government ID images, balance snapshots और transaction history, और support agents द्वारा देखे जा सकने वाले कुछ company documents, training material और communications शामिल हैं
    यह हर हमलावर का सपना वाला data है, और सिर्फ email address और account balance भी एक nightmare हैं
    कंपनी को ब्लैकमेल करने के बजाय हर user को सीधे ब्लैकमेल किया जा सकता है। जैसे, “BTC का 50% भेजो, वरना तुम्हारी सारी जानकारी इंटरनेट पर डाल दूंगा”
    यह Vastaamo data breach जैसी स्थिति बन सकती है: https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • अलग-अलग users को ब्लैकमेल करना शायद चिंताओं में सबसे छोटी बात हो सकती है
      France में इस साल की शुरुआत से crypto investors से जुड़ी kidnapping और attempted kidnapping की कम से कम 5 घटनाएं हुई हैं
    • मामला और गंभीर है
      अमेरिकी कंपनियां Philippines में customer support outsource करके $3–6 प्रति घंटे का भुगतान करती हैं
      service देने वाली firms में attrition rate बहुत ज्यादा है, और कुछ companies में कर्मचारियों का average tenure करीब 6 महीने है
      वफादार रहने की कोई वजह ही नहीं है
    • AI पर government regulation भी लगभग नहीं है, data breach के लिए penalties भी नहीं हैं, और बड़े पैमाने पर abuse से लोगों की रक्षा करने वाले safeguards भी नहीं हैं
      बल्कि दिशा उलटी ही है
      ऐसे shocks से लगता है कि अमेरिका जल्द ही chaos में फंस जाएगा
    • असल बात सिर्फ Philippines की कम मजदूरी नहीं, बल्कि यह है कि हर किसी की एक कीमत होती है
      अगर यह अमेरिका में होता तो कीमत बहुत ज्यादा होती, लेकिन संभव है कि हमले से होने वाला फायदा भी उसी बड़े स्तर के हिसाब से होता
  • Coinbase को आप जैसे भी देखें, इस बार की response काफी ठीक लगती है
    $20 million ransom न देकर, इसके बजाय जिम्मेदार लोगों की गिरफ्तारी और conviction तक ले जाने वाली जानकारी के लिए $20 million reward रखने का तरीका है

    • बिल्कुल भी ठीक नहीं है
      title “Protecting Our Customers - Standing Up to Extortionists” है, जबकि स्थिति ऐसी है जहां उन्हें कहना चाहिए था कि personal information leak करने के लिए माफ करें; समस्या यह है कि announcement इस तरह लिखा गया कि लोग उनकी तारीफ करें
      इसी बात से मुझे सच में गुस्सा आया
      ऊपर से मुझे जो email मिला उसका subject “important notice” था, और मेरे personal account के प्रभावित होने की बात एक लंबे paragraph के तीसरे sentence में थी
      इनमें से कुछ भी ठीक नहीं है, और यह कंपनी मामले को गंभीरता से लेती हुई नहीं दिखती
    • यह 1996 की फिल्म Ransom में दिखाए गए तरीके जैसा है: https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • मुझे पसंद है
      ऐसे मौके पर corporate भाषा से थोड़ी देर बाहर निकलकर “दफा हो जाओ, हैकर कमीनो!” जैसा कुछ कहने का भी अच्छा मौका था
      Bible Belt में रहने वाले लोग भी सही समय पर कही गई एक गाली को मान्यता दे देते हैं
    • customer के नजरिए से ransom देकर personally identifiable information वापस लेना बेहतर हो सकता है
      reward program भी बनाएं तो अच्छा है, लेकिन अगर यह मेरा data हो तो मुझे Coinbase के बदले की bounty game खेलने से ज्यादा leak का दायरा घटाने में दिलचस्पी होगी
  • Coinbase के पास शुरू से यह जानकारी होनी ही पड़ी, यह Know Your Customer regulations की वजह से है, जो सच में दुर्भाग्यपूर्ण है
    बिना वैध कारण personally identifiable information share न करने का मजबूत social norm बनाना चाहिए
    यह सिर्फ individual theft risk नहीं, बल्कि national security risk भी है
    Coinbase मेरे Social Security account में योगदान नहीं करता, इसलिए उसके पास मेरा Social Security number नहीं होना चाहिए, और वह मेरे घर नहीं आता, इसलिए उसके पास मेरा address नहीं होना चाहिए
    ऐतिहासिक रूप से Know Your Customer regulations communist bloc देशों में व्यापक थे, लेकिन ज्यादातर democracies में 9/11 से पहले उनकी कल्पना करना मुश्किल था
    9/11 ने intelligence agencies को अपनी चाही हुई list को law में डालने का बेहतरीन मौका दिया, और दुर्भाग्य से इससे domestic intelligence agencies जितनी ही, शायद उससे भी ज्यादा, foreign intelligence agencies को मदद मिलती है
    अलग-अलग देशों में इसे कब लागू किया गया, यहां देखा जा सकता है: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • मैं सुनना चाहूंगा कि Coinbase account hack होने और remedy तलाशने के बाद भी क्या आप वही stance दोहरा सकते हैं