Coinbase: हैकरों ने कर्मचारियों को खरीदकर ग्राहक डेटा चुराया, फिर $20 million की फिरौती मांगी
(cnbc.com)- Coinbase ने खुलासा किया कि विदेशी support staff को खरीदकर customer data चुराया गया, और हमलावर इसे social engineering attack में इस्तेमाल करना चाहते थे; incident response cost का अनुमान अधिकतम $400 million तक है
- हमलावरों ने दावा किया कि उन्होंने 11 मई को कुछ customer account information और internal documents हासिल किए, और इन्हें सार्वजनिक न करने के बदले $20 million की मांग की
- लीक हुए data में नाम, contact details, masked bank account information, ID image और account balance शामिल थे, लेकिन passwords, private keys, funds उजागर नहीं हुए और Coinbase Prime account प्रभावित नहीं हुए
- Coinbase ने फिरौती देने से इनकार किया है और law enforcement के साथ काम कर रहा है; संबंधित कर्मचारियों को बर्खास्त किया गया, संभावित रूप से प्रभावित ग्राहकों को चेतावनी दी गई, और fraud monitoring protection को मजबूत किया गया
- कंपनी ने हमले के जिम्मेदार लोगों की गिरफ्तारी और सजा तक पहुंचाने वाली जानकारी के लिए $20 million reward घोषित किया है, और जिन ग्राहकों ने हमलावरों के झांसे में आकर धन भेजा है उन्हें refund देने की बात कही है
विदेशी support staff को खरीदकर किया गया data breach
- Coinbase के अनुसार cyber criminals ने विदेशी support agents को खरीदकर customer data चुराया और इस data को social engineering attack में इस्तेमाल करने की कोशिश की
- इस घटना से निपटने की लागत अधिकतम $400 million तक पहुंच सकती है
- सुबह के कारोबार में Coinbase का शेयर 6% से अधिक गिर गया
$20 million की मांग और Coinbase की प्रतिक्रिया
- Coinbase को 11 मई को एक email मिला, जिसमें दावा किया गया था कि कुछ customer account information और internal documents हासिल कर लिए गए हैं
- कंपनी ने SEC filing में बताया कि internal documents में customer service और account management systems से जुड़ी सामग्री शामिल थी
- हमलावरों ने इस जानकारी को सार्वजनिक न करने के बदले $20 million की मांग की
- Coinbase ने फिरौती देने से इनकार किया और law enforcement के साथ मिलकर मामले की जांच कर रहा है
- कंपनी ने blog post में कहा कि मांग मानने के बजाय वह अपराधियों की गिरफ्तारी और सजा तक पहुंचाने वाली जानकारी के लिए $20 million reward देगी
उजागर हुई जानकारी और प्रभाव का दायरा
- प्रभावित data में संवेदनशील customer information शामिल थी
- नाम, पता, फोन नंबर, email
- masked bank account number और identifiers
- Social Security number के आखिरी 4 अंक
- सरकारी ID image
- account balance
- passwords, private keys, funds उजागर नहीं हुए
- Coinbase Prime account प्रभावित नहीं हुए
- जिन ग्राहकों ने हमलावरों के झांसे में आकर धन भेजा, उन्हें refund दिया जाएगा
internal access का दुरुपयोग और पहले से की गई पहचान
- हमलावरों ने विदेशी contractors और support roles में काम करने वाले कर्मचारियों को पैसे देकर जानकारी हासिल की
- खरीदे गए insiders ने customer support systems तक अपनी पहुंच का दुरुपयोग कर कुछ customer account data चुरा लिया
- Coinbase ने पिछले कुछ महीनों में इस breach का स्वतंत्र रूप से पता लगा लिया था और संबंधित कर्मचारियों को तुरंत बर्खास्त कर दिया
- जिन ग्राहकों के data access होने की संभावना थी उन्हें चेतावनी दी गई, और fraud monitoring protection को मजबूत किया गया
Coinbase का हालिया business momentum
- Coinbase अमेरिका का सबसे बड़ा cryptocurrency exchange चलाता है
- पिछले एक हफ्ते में कंपनी ने ऐसी acquisition की घोषणा की जिसे global expansion में मददगार माना जा रहा है, और अगले हफ्ते से लागू होने वाला S&P 500 में उसका शामिल होना भी तय हो गया है
- पिछले हफ्ते earnings conference call में CEO Brian Armstrong ने कहा कि आने वाले 5 से 10 वर्षों में Coinbase को दुनिया का नंबर 1 financial services app बनाना उनका लक्ष्य है
1 टिप्पणियां
Hacker News की राय
SEC फाइलिंग के मूल टेक्स्ट का लिंक: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
इस तरफ से, या शायद लीक हुआ डेटा खरीदने वाले किसी व्यक्ति से, मुझे लगातार spear phishing कॉल आ रही हैं
यह वही आम तरीका है जिसमें वे कहते हैं कि संभावित धोखाधड़ी वाले transaction की पुष्टि करनी है; वे अमेरिकी लहजे में परफेक्ट अंग्रेज़ी बोलते हैं, बहुत दोस्ताना लगते हैं और उन्हें account balance तक पता है
शुक्र है, पहली ही कॉल में मुझे समझ आ गया कि यह scam है, और बाकी कॉल्स को Google की call screening feature ने अच्छी तरह रोक दिया
अगर हो सके तो मैं उन्हें Kitboga के पास redirect करना चाहूंगा: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase ने सिर्फ नाम और पता ही नहीं, बल्कि balance, transaction history, government ID images भी सौंप दिए हैं, और बड़े cryptocurrency balances रखने वाले लोगों पर सड़क पर या घर में हमले हो रहे हैं, या उनके परिवारवालों को ransom के लिए अगवा किया जा रहा है
यहां “बड़ी” रकम 10,000 डॉलर या उससे कम भी हो सकती है
अब तक सबसे अच्छा बचाव गोपनीयता बनाए रखना था, और real name से जुड़ सकने वाले तरीके से cryptocurrency के बारे में सार्वजनिक रूप से बात न करना था, लेकिन Coinbase की वजह से वह defence line खत्म हो गई
बदमाश अब जान सकते हैं कि किसके पास कभी Coinbase पर meaningful balance था, क्या उसने वह balance cash out किया और कितना था, और क्या उसने exchange से बाहर अपने wallet में tokens transfer किए थे
अब उन्हें पता है कि किसे kidnap करना worthwhile हो सकता है और वह कहां रहता है; नाम और घर का पता Google पर search करने से अक्सर वे परिवार के नाम भी मिल जाते हैं जिन्हें धमकाने या kidnap करने के लिए target बनाया जा सकता है
Coinbase को असल damage cost की पूरी भरपाई करने के लिए मजबूर शायद नहीं किया जाएगा, जबकि वह cost कंपनी को bankrupt करने लायक होगी
सोचता हूं iPhone users इससे कैसे निपटते हैं
Microsoft account के साथ भी यही हो रहा है
आम तौर पर मैं बस ignore कर देता हूं, लेकिन लगता है कोई test कर रहा है कि मेरे email से login हो सकता है या नहीं
यह explanation मानना मुश्किल है कि Coinbase को “cybercriminal” से संपर्क होने तक यह systemic issue नहीं दिखा
कुछ समय पहले curiosity में एक phishing email देख रहा था, तो एक अजीब Unicode character का गलत translation दिखा, और तुरंत समझ गया कि यह खराब translation का निशान है
perfect तो नहीं है, लेकिन काफी अच्छी तरह बनाया गया है
समस्या यह है कि leaked data वैसा दिखता है जो account recovery में इस्तेमाल होता है
यानी आपकी गलती हो या Coinbase की, अगर account access खो गया तो recovery process अब simple नहीं रह सकती, और hackers इस leaked info का इस्तेमाल account “recover” करने की कोशिश में कर सकते हैं
Coinbase को offline branches की जरूरत है। ऐसी जगहें होनी चाहिए जहां account recovery जैसे काम सामने से संभाले जा सकें, पैसे चुराने की कोशिश करने वाले लोगों को पकड़ा और prosecute किया जा सके, और जो आम तौर पर विदेश से operate करने वाले चोरों के लिए भी बड़ी barrier बनें
यहां एकमात्र solution YubiKey जैसी hardware two-factor authentication है
आपने अभी जो describe किया, वही है जिसे कई cryptocurrency supporters bank कहते हैं
वैसे भी cryptocurrency एक और public-key infrastructure ही है
मैंने Coinbase customer support से contact करके यह confirm करने की कोशिश की कि मैं affected हूं या नहीं
AI bot पर समय बर्बाद करने के बाद मुझे इंसान से जोड़ा गया, लेकिन उस employee को breach के बारे में पता ही नहीं था और उसे बताने वाला मैं पहला व्यक्ति था
source: मैं affected हूं
Coinbase को identity verification और authentication के लिए जरूरी से कहीं ज्यादा sensitive information रखनी पड़ी, इसकी वजह Know Your Customer regulations हैं
passport photo चोरी हो जाए, और criminals या malicious Coinbase employees उस information से जो भी करें, उसकी जिम्मेदारी का कुछ हिस्सा सरकार को भी देना चाहिए
यहां समस्या government regulation नहीं, बल्कि private company द्वारा customer data को careless तरीके से handle करना है
careless रहना सस्ता पड़ता है, और risk में पड़ी information company की नहीं बल्कि customers की होती है, इसलिए जब तक कानून से मजबूर न किया जाए, उसे ठीक से protect करने की incentive कम होती है
ईमानदारी से explain करना चाहिए कि हर support agent को identity verification documents तक permanent access क्यों होना चाहिए
वे documents सिर्फ Know Your Customer regulations के लिए जरूरी हैं
लगता है Coinbase अपने और तथाकथित “विदेशी malicious support agents” के बीच दूरी दिखाने की काफी कोशिश कर रहा है
अगर वे Coinbase employees या contractors थे, तो बात यह हुई कि company ने effectively अपना data hackers को बेच दिया और hackers ने फिर ransom मांगा
धोखे से पैसा भेजने वाले customers को compensate करना उचित है। क्योंकि Coinbase की actions से loss हुआ, यह lawsuit argument काफी स्पष्ट दिखता है
ज्यादा दिलचस्प सवाल यह है कि जिन लोगों को घर बदलना, bank बदलना, email बदलना, security personnel hire करना आदि जरूरी लगा, क्या वे company से उसका कुछ या पूरा खर्च मांगने वाले lawsuit में जीत सकते हैं
अगर company employee ने policy तोड़ी, और शायद illegal तरीके से company internal data निकालकर पैसे के बदले hackers को दे दिया, तो “हमारी company ने data बेचा” कहना मुश्किल है
Coinbase ब्लॉग पोस्ट: https://www.coinbase.com/blog/protecting-our-customers-stand...
उन्होंने कहा कि जिन ग्राहकों को social engineering attack के जरिए हमलावरों को पैसे भेजने के लिए धोखा दिया गया, उन्हें मुआवजा दिया जाएगा, और जिन ग्राहकों के डेटा तक पहुंच बनाई गई थी, उन्हें no-reply@info.coinbase.com से पहले ही ईमेल भेज दिया गया है
प्रभावित ग्राहकों को भेजी गई सभी सूचनाएं 5/15 को Eastern Time सुबह 7:20 बजे भेजी गई थीं
समझ आता है कि Coinbase जैसी कंपनी चलाना मुश्किल है, लेकिन centralized होना और customer support ही इसकी सबसे बड़ी ताकतें हैं, और यही चीजें इस तरह की social engineering को संभव भी बनाती हैं, इसलिए यह थोड़ा अजीब चुनाव लगता है
पता नहीं Coinbase Prime के paid barrier के पीछे कोई अतिरिक्त data protection layer है, या फिर यह मानकर जानबूझकर उन्हें छोड़ा गया कि उनके users के ज्यादा अनुभवी होने की संभावना है
leak के विवरण के मुताबिक, लगता है कि हमलावरों ने अमेरिका के बाहर support का काम करने वाले कई contractors या कर्मचारियों को पैसे देकर Coinbase के internal systems से जानकारी इकट्ठा करवाई, जिन तक उन्हें काम के कारण access था
leaked जानकारी को देखकर स्रोत के Philippines customer support होने की संभावना बहुत ज्यादा है
वहां आमतौर पर मासिक वेतन $1,000 से कम होता है और entry-level पर $500 से भी कम हो सकता है, इसलिए $5,000 की रिश्वत tax-free एक साल से ज्यादा की कमाई बन सकती है
इस dataset से कमाए जा सकने वाले पैसे को देखते हुए यह छोटा निवेश है
leaked items में नाम, पता, फोन नंबर, ईमेल, masked Social Security number के आखिरी 4 अंक, masked bank account numbers और कुछ bank identifiers, driver’s license और passport जैसे government ID images, balance snapshots और transaction history, और support agents द्वारा देखे जा सकने वाले कुछ company documents, training material और communications शामिल हैं
यह हर हमलावर का सपना वाला data है, और सिर्फ email address और account balance भी एक nightmare हैं
कंपनी को ब्लैकमेल करने के बजाय हर user को सीधे ब्लैकमेल किया जा सकता है। जैसे, “BTC का 50% भेजो, वरना तुम्हारी सारी जानकारी इंटरनेट पर डाल दूंगा”
यह Vastaamo data breach जैसी स्थिति बन सकती है: https://en.wikipedia.org/wiki/Vastaamo_data_breach
France में इस साल की शुरुआत से crypto investors से जुड़ी kidnapping और attempted kidnapping की कम से कम 5 घटनाएं हुई हैं
अमेरिकी कंपनियां Philippines में customer support outsource करके $3–6 प्रति घंटे का भुगतान करती हैं
service देने वाली firms में attrition rate बहुत ज्यादा है, और कुछ companies में कर्मचारियों का average tenure करीब 6 महीने है
वफादार रहने की कोई वजह ही नहीं है
बल्कि दिशा उलटी ही है
ऐसे shocks से लगता है कि अमेरिका जल्द ही chaos में फंस जाएगा
अगर यह अमेरिका में होता तो कीमत बहुत ज्यादा होती, लेकिन संभव है कि हमले से होने वाला फायदा भी उसी बड़े स्तर के हिसाब से होता
Coinbase को आप जैसे भी देखें, इस बार की response काफी ठीक लगती है
$20 million ransom न देकर, इसके बजाय जिम्मेदार लोगों की गिरफ्तारी और conviction तक ले जाने वाली जानकारी के लिए $20 million reward रखने का तरीका है
title “Protecting Our Customers - Standing Up to Extortionists” है, जबकि स्थिति ऐसी है जहां उन्हें कहना चाहिए था कि personal information leak करने के लिए माफ करें; समस्या यह है कि announcement इस तरह लिखा गया कि लोग उनकी तारीफ करें
इसी बात से मुझे सच में गुस्सा आया
ऊपर से मुझे जो email मिला उसका subject “important notice” था, और मेरे personal account के प्रभावित होने की बात एक लंबे paragraph के तीसरे sentence में थी
इनमें से कुछ भी ठीक नहीं है, और यह कंपनी मामले को गंभीरता से लेती हुई नहीं दिखती
ऐसे मौके पर corporate भाषा से थोड़ी देर बाहर निकलकर “दफा हो जाओ, हैकर कमीनो!” जैसा कुछ कहने का भी अच्छा मौका था
Bible Belt में रहने वाले लोग भी सही समय पर कही गई एक गाली को मान्यता दे देते हैं
reward program भी बनाएं तो अच्छा है, लेकिन अगर यह मेरा data हो तो मुझे Coinbase के बदले की bounty game खेलने से ज्यादा leak का दायरा घटाने में दिलचस्पी होगी
Coinbase के पास शुरू से यह जानकारी होनी ही पड़ी, यह Know Your Customer regulations की वजह से है, जो सच में दुर्भाग्यपूर्ण है
बिना वैध कारण personally identifiable information share न करने का मजबूत social norm बनाना चाहिए
यह सिर्फ individual theft risk नहीं, बल्कि national security risk भी है
Coinbase मेरे Social Security account में योगदान नहीं करता, इसलिए उसके पास मेरा Social Security number नहीं होना चाहिए, और वह मेरे घर नहीं आता, इसलिए उसके पास मेरा address नहीं होना चाहिए
ऐतिहासिक रूप से Know Your Customer regulations communist bloc देशों में व्यापक थे, लेकिन ज्यादातर democracies में 9/11 से पहले उनकी कल्पना करना मुश्किल था
9/11 ने intelligence agencies को अपनी चाही हुई list को law में डालने का बेहतरीन मौका दिया, और दुर्भाग्य से इससे domestic intelligence agencies जितनी ही, शायद उससे भी ज्यादा, foreign intelligence agencies को मदद मिलती है
अलग-अलग देशों में इसे कब लागू किया गया, यहां देखा जा सकता है: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...