Coinbase: हैकर्स ने कर्मचारियों को रिश्वत देकर ग्राहक डेटा चुराया, फिर 2 करोड़ डॉलर की फिरौती मांगी

 (cnbc.com)
1 पॉइंट द्वारा GN⁺ 2025-05-16 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Coinbase हैकर समूह के कारण कर्मचारियों को रिश्वत देकर ग्राहक डेटा लीक होने की घटना का शिकार हुआ
  • हैकर्स ने ग्राहक जानकारी चुराने के बाद 2 करोड़ डॉलर की फिरौती मांगी
  • यह अभूतपूर्व सुरक्षा खतरा सामने आया कि आंतरिक कर्मचारी हैकर्स के साथ मिलकर काम कर रहे थे
  • इस घटना ने एक्सचेंज और फिनटेक उद्योग में insider risk management के महत्व को फिर से उजागर किया
  • नुकसान के फैलाव को रोकने के लिए आपातकालीन प्रतिक्रिया और ग्राहक सुरक्षा उपाय किए जा रहे हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-05-16
Hacker News की राय

  • मुझे हाल में लगातार बहुत परिष्कृत spear phishing कॉल्स आ रही हैं। वे वही सामान्य तरीका अपनाते हैं, कहते हैं कि मुझे किसी संदिग्ध transaction की पुष्टि करनी है। उनकी American English बहुत अच्छी है, आवाज़ बहुत दोस्ताना है, और उन्हें मेरे account balance तक की जानकारी है। पहली कॉल में ही मुझे समझ आ गया था कि यह scam है, और Google की call screening feature की वजह से उसके बाद मैं सुरक्षित रहा। मन करता है ऐसी कॉल्स Kitboga को forward कर दूँ। पहले वे शायद Coinbase ग्राहकों को scam करने की कोशिश कर रहे थे, और आखिर में Coinbase को ही extort करने लगे

    • अगर आपके पास कभी Coinbase में काफ़ी assets रहे हों, तो spear phishing आपकी सबसे छोटी चिंता है। Coinbase ने सिर्फ़ नाम और पता ही नहीं, बल्कि balance, transaction history, और ID images तक leak कर दीं। बहुत से लोगों पर असली सड़क या घर पर हमला हुआ है, या उनके परिवार का kidnapping तक हुआ है। $10,000 से कम भी 'काफ़ी' assets माने जाते हैं। अब तक सबसे अच्छी सुरक्षा secrecy थी, लेकिन Coinbase की वजह से अब वह भी खत्म हो गई। बुरे लोग अब आसानी से पता लगा सकते हैं कि Coinbase पर किसने कभी बड़ी रकम रखी थी या cash out किया था, और वे परिवार की जानकारी ढूँढकर उन्हें extort target बना सकते हैं। भले ही Coinbase पर इससे हुए सारे नुकसान की भरपाई करने की नैतिक ज़िम्मेदारी हो, ऐसा करने पर कंपनी दिवालिया हो सकती है

    • मैंने Pixel से iPhone पर switch किया, और spam calls इतनी ज़्यादा हैं कि हैरानी होती है। जानना चाहता हूँ कि iPhone पर लोग इससे कैसे निपटते हैं

    • सोच रहा हूँ कि spear phishing calls बढ़े हुए कितना समय हो गया है। मुझे Coinbase का यह दावा नहीं मानता कि यह hacking attack कोई systemic issue है

    • मुझे बिना किसी कोशिश के लगातार Coinbase login verification code वाले text messages मिल रहे हैं। Microsoft account के साथ भी यही हो रहा है। लगता है कोई यह test कर रहा है कि मेरा email login में इस्तेमाल हो सकता है या नहीं

    • जानना चाहता हूँ कि calling number कहाँ से आ रहा था। मुझे बहुत phishing calls आती हैं, लेकिन मैं unknown numbers कभी नहीं उठाता। Google call screen की वजह से वे हर बार कट कर देते हैं। इसलिए मुझे यक़ीन है कि यह scam है

    • AI की वजह से scams और ज़्यादा sophisticated हो गए हैं। spelling mistakes भी बहुत कम हो गई हैं। हाल में मैंने दिलचस्पी से एक phishing email देखा तो उसमें कुछ अजीब Unicode characters मिले जहाँ translation ग़लत हुआ था। अभी यह perfect नहीं है, लेकिन धीरे-धीरे और चालाक होता जा रहा है

    • पिछले हफ़्ते ही मुझे ऐसी तीन-चार कॉल्स आई थीं

    • सोच रहा हूँ कि वह एकदम perfect accent कहीं machine learning की वजह से तो नहीं है

    • इस बात से कि वे perfect English बोलते हैं और account balance तक जानते हैं, यह कल्पना होती है कि कहीं वे Coinbase के former employees तो नहीं

    • लगता है यह कभी बंद नहीं होगा, और अब criminal behavior ही legal capitalism बन गया है, यह कड़वा एहसास है

  • समस्या यह लगती है कि leak हुआ data वही है जो account recovery में इस्तेमाल होता है। यानी अगर आपकी अपनी गलती से या Coinbase की तरफ़ की किसी समस्या के कारण account inaccessible हो जाए, तो recovery process अब आसान नहीं रहेगी। hackers leaked information से account recovery की कोशिश भी कर सकते हैं। समाधान के तौर पर कहा गया कि real world में account recovery support देने वाले offline branches की ज़रूरत है। onsite होने पर criminals को पकड़ा और prosecute किया जा सकता है। यह overseas criminals के लिए बड़ी बाधा बनेगा। सबसे पक्का समाधान Yubikey जैसी hardware 2FA है

    • crypto industry एक बार फिर तेज़ी से सीख रही है कि traditional financial system आखिर क्यों मौजूद है। जिस IRL office की बात हो रही है, उसे बहुत से crypto समर्थक 'bank' कहते हैं

    • अगर आपके अपने wallet से सीधे deposit/withdrawal records हैं, तो Coinbase में registered address से उस key द्वारा signed message भेजना भी एक भरोसेमंद recovery तरीका हो सकता है। crypto का मूल स्वभाव PKI का एक दूसरा रूप ही है

    • अगर offline branches हों, तो ऐसी हक़ीक़त बनेगी कि user की गलती न होने पर भी, जैसे system ने ज़रूरत से ज़्यादा risk detect कर लिया, account access बंद होने पर किसी दूसरे शहर तक जाना पड़े। तब lockout हुए users बहुत नाराज़ होंगे

    • मेरा मानना है कि जो लोग Yubikey इस्तेमाल करने लायक technical समझ रखते हैं, वे सीधे hardware wallet खरीदकर self-custody करेंगे

    • अगर Coinbase को offline branches चाहिए, तो इसका मतलब बस यही है कि वह एक bank है

    • भले ही hardware 2FA (Yubikey) ही एकमात्र समाधान हो, अगर वह खो जाए तो फिर वापस account recovery के चरण में लौटना पड़ेगा

    • क्या Coinbase को offline branches चाहिए कहना व्यंग्य है?

  • मैंने Coinbase customer support से पूछा कि क्या मेरा account इस hack से प्रभावित हुआ है। AI chatbot से गुजरकर जब असली agent से जुड़ा, तो उन्हें hack के बारे में पता ही नहीं था। मानो मैंने उन्हें पहली बार बताया

    • प्रभावित accounts को email भेजा गया था। मैं प्रभावित users में था

    • हो सकता है पहले ग्राहक को बस एक आलसी support agent मिला हो

    • मेरा अनुभव है कि agent ने सिर्फ़ manual की पंक्ति पढ़ दी: "मुझे पता नहीं था, आप पहले व्यक्ति हैं जिसने यह बात बताई"

  • ऐसा लगता है कि Coinbase overseas 'rogue support employees' से दूरी बनाने की कोशिश कर रहा है। अगर वे सच में Coinbase employees या contractors थे, तो कंपनी ने व्यवहार में सीधे hackers को data बेच दिया। scam में पैसा खोने वाले ग्राहकों को compensate करना तो सामान्य समझ है। लेकिन अगर किसी को वास्तव में घर बदलना पड़ा हो, bank या email बदलना पड़ा हो, या यहाँ तक कि security personnel hire करना पड़ा हो, तो क्या वे ये ख़र्च भी कंपनी से claim कर सकते हैं?

    • अगर किसी employee ने company policy तोड़कर या ग़ैरक़ानूनी तरीके से confidential data निकालकर hackers को दिया, तो यह कहना मुश्किल है कि "हमारी कंपनी ने data बेचा"

  • Coinbase के official blog में कही बात साझा की गई: जिन ग्राहकों ने हमले में फँसकर funds transfer कर दिए, उन्हें compensation दिया जाएगा, और जिन ग्राहकों की जानकारी expose हुई उन्हें 15 मई 7:20 AM ET पर email भेजा जा चुका है

    • no-reply email चुनना दिलचस्प है। Coinbase की centralization और customer center बड़े फायदे हैं, लेकिन यही बात social engineering attacks को भी संभव बनाती है

    • यह दिलचस्प है कि Coinbase Prime accounts leak scope में शामिल नहीं थे। क्या Prime accounts पर कोई खास protection है, या scammers को उन accounts में कम दिलचस्पी थी?

  • सरकार के KYC laws की वजह से Coinbase को identity verification के लिए ज़रूरी चीज़ों से कहीं ज़्यादा sensitive information store करनी पड़ती है। ID photo तक चोरी हो जाना सरकार की गलती है, और अब समस्या criminals के साथ-साथ insider employees की भी है, जिनके पास यह जानकारी है और जो इसके साथ क्या करेंगे, पता नहीं

    • KYC के अपने आप में पर्याप्त कारण हैं। समस्या government regulation नहीं, बल्कि private companies हैं जो customer data management को लापरवाही से संभालती हैं। ढीला management सस्ता पड़ता है, और चूँकि वह उनका अपना data नहीं होता, इसलिए उसे सुरक्षित रखने की प्रेरणा भी कम होती है। अगर मजबूरी न हो, तो वे इसका पालन नहीं करेंगे

    • यह कहना कि KYC की वजह से sensitive information लगातार रखनी पड़ती है, एक बहाना है। ईमानदारी से बताना चाहिए कि आखिर हर support agent को permanent basis पर ID documents तक access क्यों है

  • लगता है Coinbase की प्रतिक्रिया काफ़ी अच्छी है: $20 million ransom demand बिल्कुल नहीं मानना, और उसकी जगह अपराधियों की गिरफ्तारी में मदद करने वाली जानकारी के लिए $20 million reward fund बनाना

    • यह वही तरीका है जो 1996 की फ़िल्म 'Ransom' में इस्तेमाल हुआ था

    • ग्राहक के नज़रिए से data leak को सीमित करने के लिए ransom देना ज़्यादा महत्वपूर्ण हो सकता है, reward fund अलग से बनाना भी ठीक है, लेकिन इस समय तुरंत data protection ज़्यादा ज़रूरी है

    • मुझे यह response style पसंद आई। ऐसे समय कंपनी अगर सूखी corporate language की जगह कुछ ऐसा कहे जैसे “हैकर हरामियों, जाओ भाड़ में!” तो बहुत लोग उसे सराहेंगे

  • बस इतना कहा गया है कि 'rogue overseas support employees' भर्ती किए गए थे। यह नहीं बताया गया कि वे किस देश में थे, और शुरू में उन्हें hire ही क्यों किया गया। यह अजीब है कि पहले से अरबों डॉलर revenue वाली कंपनी proper hiring और vetting तक नहीं कर सकी

  • "$20 million reward fund" शुरू करने पर, मैं आम तौर पर crypto industry की आलोचना करता हूँ, लेकिन इस बार तारीफ़ करनी पड़ेगी। उम्मीद है वे सच में reward pay करें

    • मज़ाक कि शायद वह reward crypto में भी दिया जा सकता है

  • यह पूरा मामला déjà vu जैसा लगता है। अगर hackers के पैसे माँगने तक ही कुछ गड़बड़ का एहसास हुआ, तो शक होता है कि क्या Coinbase ने employee access logs भी नहीं रखे। जानना चाहता हूँ कि क्या भीतर कम-से-कम accountability trace करने का कोई तरीका है। एक सरल access tracking system बनाकर abnormal behavior या malicious employees को तुरंत block करना अच्छा होता। इस घटना के बाद senior executives के exit packages कैसे दिखेंगे, यह देखना दिलचस्प होगा

    • official blog के मुताबिक customer support employees ने वही sensitive data, जिसकी उन्हें पहले से access थी, पैसों के बदले attackers को दे दी। hackers ने सीधे accounts access नहीं किए

    • मुझे ऐसा अनुभव रहा है कि US के बाहर के employees को hire करने पर internal admin panel में कई परतों वाली security जोड़नी पड़ी (logging, monitoring, admin approval वगैरह)। credit card industry में PCI-DSS standards की वजह से data protection requirements बेहद सख़्त हैं। crypto industry में ऐसे regulations की कमी के कारण security awareness तुलनात्मक रूप से कम लगती है

    • कम-से-कम logging और post-audit की ज़रूरत है। customer support staff से ऐसा verification information माँगना भी ग़लत नहीं जो ग्राहक आसानी से न जान सके। और अगर ग्राहक खुद lock out हो गया हो, तो ऐसे मामलों को सिर्फ़ बहुत कम, ज़्यादा सख़्ती से नियंत्रित staff संभालें। monthly users में 1% से कम access होना भी मुझे काफ़ी बड़ा आँकड़ा लगता है