Coinbase को उल्लंघन की जानकारी होने से महीनों पहले से हमला जारी था, इसके संकेत दर्ज करने वाला रिकॉर्ड सार्वजनिक

 (jonathanclark.com)
1 पॉइंट द्वारा GN⁺ 2025-11-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • जनवरी 2025 में एक मामला सामने आया, जिसमें हमलावर को Social Security Number और Bitcoin balance जैसी विस्तृत व्यक्तिगत जानकारी पहले से पता थी
  • पीड़ित ने तुरंत Coinbase security team को विस्तृत तकनीकी रिपोर्ट सौंपी, लेकिन उसके बाद 4 महीनों तक मुख्य सवालों का कोई जवाब नहीं मिला
  • Coinbase ने मई में जाकर ही विदेशी outsourcing कंपनी (TaskUs) के कर्मचारी द्वारा आंतरिक डेटा लीक की बात मानी, और लगभग 1% customers तथा अधिकतम $400 million के नुकसान की घोषणा की
  • email header analysis से Amazon SES के जरिए spoofed sending, Google Voice number का इस्तेमाल, SMS bomb attack जैसी multi-stage attack संरचना की पुष्टि हुई
  • रिपोर्ट किए जाने और सार्वजनिक खुलासे के बीच का 4 महीने का अंतर security monitoring failure और response की कमी को दिखाता है, और centralized exchange पर भरोसे की समस्या को उजागर करता है

घटना का सारांश

  • 7 जनवरी 2025 को पीड़ित को “2.93 ETH निकासी अनुरोध” शीर्षक वाला email मिला और Coinbase का रूप धरकर एक call आई
    • कॉल करने वाले को Social Security Number, Bitcoin balance, driver's license information जैसी गैर-सार्वजनिक जानकारी पता थी
    • पीड़ित ने इसे तुरंत Coinbase security team को रिपोर्ट किया और email header, voice recording, attacker information समेत विस्तृत analysis material जमा किया
  • Coinbase के Trust & Safety प्रमुख Brett Farmer ने इसे “बहुत मजबूत रिपोर्ट” कहा, लेकिन उसके बाद आगे के सभी सवालों का जवाब नहीं दिया

Coinbase की आधिकारिक घोषणा और उसमें असंगति

  • Coinbase ने कहा कि उसे उल्लंघन का पता 11 मई 2025 को चला, और 15 मई को इसे सार्वजनिक किया
    • हमलावरों ने भारत में TaskUs कर्मचारियों को रिश्वत देकर customer data चुराया
    • लीक हुई जानकारी: नाम, पता, phone number, email, Social Security Number के आखिरी 4 अंक, सरकारी ID image, account balance, transaction history
    • नुकसान का दायरा 1% से कम customers और $180 million से $400 million के बीच आंका गया
  • लेकिन पीड़ित जनवरी में ही हमलावर के आंतरिक डेटा तक पहुंच के सबूत दे चुका था, जिसे Coinbase ने नजरअंदाज किया

हमले की विस्तृत संरचना

  • Email spoofing:
    • sender address commerce@coinbase.com था, लेकिन वास्तविक sending server Amazon SES(a32-86.smtp-out.amazonses.com) था
    • DKIM signature coinbase.com और amazonses.com दोनों के लिए pass हुई, जिससे विश्वसनीयता का आभास बना
    • Return-Path amazonses.com पर सेट था, जिससे spoofing की संभावना बनती है
  • Phone scam:
    • caller number 1-805-885-0141 को Google Voice number के रूप में पहचाना गया
    • हमलावर ने पीड़ित को “cold wallet में assets transfer” करने के लिए उकसाया
  • SMS bomb attack:
    • कॉल के तुरंत बाद सैकड़ों spam messages आए
    • इसका विश्लेषण 2FA code और security alert छिपाने के लिए noise पैदा करने की तकनीक के रूप में किया गया

Coinbase की समस्याएं

  • Security-sensitive काम का outsourcing: विदेशी contract workers को customer identity information और account data तक पहुंच थी
  • Breach detection failure: जनवरी से हमला चलने के बावजूद मई तक internal monitoring system उसे पहचान नहीं सका
  • User report की अनदेखी: पीड़ित की तकनीकी रिपोर्ट और सवालों पर 4 महीनों तक कोई जवाब नहीं
  • Disclosure delay: हमला महीनों पहले से जारी था, फिर भी आधिकारिक स्वीकारोक्ति फिरौती की मांग के बाद ही हुई

उपयोगकर्ताओं के लिए सुरक्षा सलाह

  • Phone number और caller ID पर भरोसा न करें, हमेशा official site पर दिए नंबर से दोबारा पुष्टि करें
  • हमलावर व्यक्तिगत जानकारी जानता हो तब भी उस पर भरोसा न करें, two-way verification जरूरी है
  • Email header analysis से sending server, SPF, DKIM result की जांच करें
  • Callback number verify करें, और app के अंदर verification process से पहचान की पुष्टि करें
  • दबाव डालकर fund transfer कराने वाले अनुरोध ठुकराएं, और SMS की जगह app-based 2FA इस्तेमाल करें
  • हमला दिखे तो तुरंत पूरी तकनीकी जानकारी के साथ रिपोर्ट करें

4 महीने के अंतर का अर्थ

  • पीड़ित ने जनवरी में उल्लंघन के सबूत और recording material जमा किया, लेकिन Coinbase ने मई तक प्रतिक्रिया नहीं दी
  • इस दौरान दूसरे customers भी उसी तरह के हमले के संपर्क में आए हों, इसकी संभावना है
  • Coinbase की चुप्पी security alert system और customer response process की संरचनात्मक खामियां दिखाती है
  • यह घटना centralized exchange की trust और accountability की समस्या का प्रतीक है, और पीड़ित ने निष्कर्ष निकाला कि “वह चुप्पी 120 दिनों तक जारी रही”

Coinbase के सामने बचे मुख्य सवाल

  • वास्तविक data leak का समय कब था
  • जनवरी से मई के बीच पीड़ितों की संख्या और report handling का विवरण क्या है
  • Internal access control failure का कारण और regulatory response क्या है
  • Coinbase जिन security improvement measures का दावा कर रहा है, क्या उनकी प्रभावशीलता सत्यापित की जा सकती है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-17
Hacker News राय

  • 2 जून की Reuters रिपोर्ट के अनुसार, यह सामने आया कि Coinbase को जनवरी से ही आउटसोर्सिंग वेंडर के जरिए ग्राहक डेटा लीक होने की जानकारी थी
    14 मई की SEC filing के अनुसार, 11 मई को Coinbase को एक अज्ञात हमलावर से ईमेल मिला, जिसमें कहा गया था कि उसने ग्राहक अकाउंट जानकारी और आंतरिक दस्तावेज़ हासिल कर लिए हैं, जिनमें customer service और account management systems से जुड़ी सामग्री भी शामिल थी

    • मैंने 7 जनवरी को Coinbase को यह समस्या रिपोर्ट की थी। टाइमिंग बिल्कुल मेल खाती है। जिस कर्मचारी से मेरी बात हुई थी, उसके आत्मविश्वासी रवैये से लगा कि मैं पहला रिपोर्ट करने वाला नहीं था
    • लगता है “आउटसोर्सिंग वेंडर” आगे चलकर ऐसी घटनाओं की खबरों का सामान्य उपशीर्षक बन जाएगा

  • मैंने पहले उस shared office में नेटवर्क का काम किया था जहाँ Coinbase किरायेदार था, और admin password whiteboard पर लिखा था और गलियारे से भी दिख रहा था
    मैंने इसे ईमेल से बताया और बिल भी भेज दिया, लेकिन उनका समाधान बस password के ऊपर कागज़ चिपका देना था। वाकई बेहूदा दौर था

    • बिना माँगी गई सेवा के लिए invoice भेजना ऐसा तरीका है जिससे कोई भी आपकी ईमेल को गंभीरता से नहीं लेगा
    • इसमें बिल्कुल भी हैरानी नहीं है। पूरा Bitcoin और fintech उद्योग बहुत लापरवाह है

  • करीब एक महीने पहले UK में मुझे किसी ऐसे व्यक्ति का कॉल आया जो खुद को Coinbase से बता रहा था
    जब मैंने कहा कि मेरे अकाउंट में सिर्फ़ लगभग £5 का Bitcoin Cash है, तो उसने तुरंत दिलचस्पी खो दी और कहा कि ईमेल से बात करेंगे
    उसने पूछा “cold storage है?” तो मैंने कहा मेरे पास fridge है। यह सच भी था

    • हाहा, अगली बार spam call आए तो मैं भी यह मज़ाक इस्तेमाल करूँगा

  • लेख का शीर्षक बहुत clickbait है
    असल में यह सिर्फ़ एक रिकॉर्डिंग है जिसमें phishing attacker जानकारी निकालने की कोशिश कर रहा था; यह इस बात का सबूत नहीं है कि Coinbase को लीक का पता था
    सिर्फ़ इसलिए कि रिपोर्ट करने वाले ने Coinbase को सामग्री दे दी, यह नहीं माना जा सकता कि वे breach के बारे में पहले से जानते थे

    • मैंने कॉल रिकॉर्डिंग और ईमेल Coinbase को भेजे थे, और उनकी तरफ़ से जवाब मिला: “यह रिपोर्ट बहुत ठोस है और जाँच के लायक है। हम अभी scammer की जाँच कर रहे हैं
    • लगता है आपने लेख ठीक से नहीं पढ़ा। जो चाहिए, वह सब लेख में है

  • कहानी दिलचस्प है, लेकिन यह बात बहुत खटकती है कि लेख AI से लिखा गया लगता है। पढ़ना असहज था

    • मैं पूछना चाहूँगा कि आपको इतना यक़ीन कैसे है। LLM इंसानी बोलचाल की नकल करते हैं, लेकिन वह शैली भी आख़िर किसी न किसी की लेखन शैली से आती है।
      मौजूदा LLM भाषा पैटर्न शायद किसी की लेखन आदतों की नकल का नतीजा हैं
    • AI से लिखा है या नहीं, पता नहीं, लेकिन वही बातें बार-बार दोहराई गई हैं। इसे 1/3 लंबाई में भी कहा जाता तो बात वही रहती
    • मुझे भी AI वाली “LinkedIn-स्टाइल टोन” खली। वाक्य संरचना बेहतर हो गई है, लेकिन अब भी ज़रूरत से ज़्यादा ड्रामा, बेवजह की सूचियाँ, और “The Call That Changed Everything” जैसे बनावटी शीर्षक भरे पड़े हैं
      खासकर “The Timeline That Doesn’t Make Sense” जैसी अभिव्यक्तियाँ असली सामग्री से मेल नहीं खातीं।
      अगर कोई बड़ी कंपनी जटिल जाँच कर रही हो, तो घोषणा तक समय लगना स्वाभाविक है, लेकिन AI संदर्भ पर ध्यान दिए बिना इसे “असामान्य” कहकर तय कर देता है।
      ऐसा संदर्भहीन निर्णय ही AI लेखन की सबसे बड़ी समस्या लगता है
    • ऐसा दावा करने के लिए सहायक प्रमाण चाहिए

  • इसे सबूत मानना मुश्किल है
    लेखक को phishing call आया और उसने Coinbase को रिपोर्ट कर दिया। Coinbase को ऐसे phishing reports रोज़ सैकड़ों मिलते हैं
    हमलावर के पास जो जानकारी थी, वह किसी और data breach से भी आई हो सकती है। यह भी संभव है कि ग्राहक ने गलती से अकाउंट जानकारी उजागर कर दी हो

    • शुरुआत में मुझे लगा कि उन्होंने blockchain transaction history को मेरे नाम से जोड़कर ट्रैक किया होगा।
      लेकिन हमलावर को मेरे ETH और BTC balances, और account creation date तक पता थे।
      account creation date शायद ट्रैक की जा सकती है, लेकिन दोनों coin balances एक साथ जानना Coinbase की आंतरिक जानकारी के बिना संभव नहीं लगता

  • timeline दिलचस्प है, लेकिन सिर्फ़ इस एक मामले से यह मानना काफ़ी नहीं कि Coinbase को लीक का पता था
    screenscraping malware आम है, और analyst के नज़रिए से इसे ग्राहक-पक्ष के infection के रूप में देखना स्वाभाविक है
    वास्तव में अक्सर ग्राहक hack हो जाते हैं और फिर कंपनी को दोष देते हैं

    • लेकिन जब मैंने कॉल रिकॉर्डिंग और ईमेल headers तक भेजे, तो Coinbase के Trust & Safety lead ने सीधे जवाब दिया: “यह रिपोर्ट बहुत ठोस है। हम अभी scammer की जाँच कर रहे हैं”

  • मैंने भी लगभग उसी समय Coinbase hack के संकेत पकड़े थे
    Discord API key तक लीक हो गई थी, और वह 4–5 मई के आसपास जाकर reset की गई।
    इससे लगता है कि केंद्रीय secrets manager तक भी समझौता हो गया था

  • हमारी संस्था भी Coinbase का उपयोग करती है, और फरवरी 2025 की शुरुआत में हम पर attack attempt हुआ था
    अच्छी बात यह रही कि अकाउंट मैनेजर काफ़ी संदेहशील था, इसलिए उसने सामने वाले संगठन के आधिकारिक संपर्क माध्यम से सीधे पुष्टि की और नुकसान टल गया