Утечка данных в Coinbase: что делать, если ваши данные скомпрометированы

Что произошло

Coinbase публично объявила о нарушении безопасности после того, как злоумышленники заявили, что “подкупили и завербовали” сотрудников службы поддержки. По данным компании, хакеры направили ей письмо 11 мая с требованием и утверждением, что у них есть информация по “определённым аккаунтам клиентов Coinbase” и внутренние документы, включая материалы, связанные с системами клиентской поддержки и управления аккаунтами.

Злоумышленники целились в зарубежных сотрудников поддержки. Им предлагали деньги, чтобы те скопировали данные из внутренних инструментов поддержки. Цель — собрать список клиентов и затем через социальную инженерию выманивать у них криптоактивы. Отмечается, что атаки с попыткой подкупа сотрудников уже предпринимались и раньше.

Они также пытались вымогать у платформы $20 млн, но Coinbase отказалась платить. В результате хакерам удалось получить доступ к следующим типам данных:

• Персональная информация: имена, адреса, номера телефонов и адреса электронной почты.
• Последние четыре цифры сохранённого номера социального страхования (SSN).
• Маскированные номера банковских счетов и идентификаторы.
• Изображения правительственных удостоверений личности.
• Данные аккаунтов: снимки балансов и история транзакций.
• Внутренняя корпоративная информация, связанная со службой поддержки и управлением аккаунтами.

Важно: Coinbase подчёркивает, что в краже не фигурируют логины, пароли, коды 2FA, приватные ключи или доступ к средствам клиентов. Все аккаунты Coinbase Prime также не затронуты.

Pro Aerial Master / Shutterstock

Как Coinbase отвечает на инцидент

• Сотрудники, прямо причастные к утечке, были уволены немедленно.
• Компания планирует привлечь виновных к уголовной ответственности и сотрудничает с правоохранительными органами.
• Для поимки злоумышленников объявлен фонд вознаграждений в размере $20 млн за информацию, ведущую к аресту и осуждению.
• Coinbase сотрудничает с партнёрами индустрии и правоохранительными органами, чтобы обнаружить и вернуть возможные похищенные средства.

Если ваши данные попали в компрометированную выборку, Coinbase должно было отправить вам уведомление с адреса no-reply@info.coinbase.com с объяснением ситуации.

Компания также заявила, что компенсирует розничным клиентам средства, которые они по ошибке отправили мошенникам в результате этого инцидента, после проверки фактов:

Coinbase добровольно возместит розничным клиентам, которые по ошибке отправили средства мошеннику непосредственно в результате данного инцидента, при условии подтверждения фактов.

Какие виды мошенничества становятся вероятными

Атака использует краденые персональные данные и социальную инженерию. Ожидаемые сценарии:

• Фишинг по телефону или в мессенджерах с указанием деталей о счёте для повышения доверия.
• Поддельные сообщения от якобы сотрудников Coinbase с просьбой переслать коды, адреса кошельков или пароли.
• Пресинг с требованием перевести средства на “безопасный” адрес.

Советы из объявления Coinbase: используйте белый список адресов для вывода, включите надёжную 2FA (лучше аппаратную) и заблокируйте аккаунт, если подозреваете мошенничество.

Что делать прямо сейчас — краткая инструкция

1. Проверьте почту от no-reply@info.coinbase.com и следуйте официальным инструкциям.
2. Не отвечайте на звонки или сообщения от тех, кто представляется сотрудниками Coinbase; компания никогда не будет запрашивать ваш пароль, коды 2FA или полные приватные данные.
3. Включите или обновите allow-list для вывода средств, если вы ещё не используете эту функцию.
4. Перейдите на аппаратную 2FA (аппаратный ключ) или другой надёжный метод двухфакторной аутентификации.
5. Проверьте банковские и налоговые документы на предмет подозрительной активности. Сообщите банку, если замечаете необычные операции.
6. Если вы отправили средства мошенникам по обману — задокументируйте переписку и транзакции и свяжитесь с Coinbase для подачи заявки на возмещение.
7. Рассмотрите заморозку (lock) аккаунта до прояснения ситуации.

Пошаговый план реагирования для пользователей (инцидентный план)

1. Идентификация
   • Откройте почту от Coinbase и подтвердите, что уведомление пришло с no-reply@info.coinbase.com.
   • Сохраните копии всех подозрительных писем и сообщений.
2. Ограничение ущерба
   • Включите блокировку аккаунта и включите allow-list для выводов.
   • Меняйте пароли на уникальные и надёжные (если вы не используете менеджер паролей — подключите его).
3. Уведомления и восстановление
   • Свяжитесь с поддержкой Coinbase через официальные каналы на сайте или в приложении.
   • Сообщите банку о возможной компрометации данных.
4. Документирование для возмещения
   • Соберите доказательства: скриншоты, даты, ID транзакций, переписку.
   • Подайте запрос на возмещение и следуйте инструкциям Coinbase.
5. Долгосрочная защита
   • Переведите криптоактивы в холодное хранилище, если вы храните существенные суммы.
   • Регулярно проверяйте электронную почту и банковские выписки.

Контрольные чеклисты по ролям

• Для обычного пользователя:

  • Проверить уведомление от Coinbase.
  • Включить allow-list и аппаратную 2FA.
  • Не раскрывать пароли и 2FA-коды.

• Для пользователей с крупными суммами:

  • Перенести средства в аппаратный кошелёк.
  • Рассмотреть услугу страхования или custodian-а.

• Для администраторов бизнеса или институциональных клиентов:

  • Проверить интеграции с API и права доступа у сотрудников.
  • Провести аудиторскую проверку процедур KYC и доступа к внутренним инструментам.

Критерии приёмки расследования

• Пользователь получил официальное уведомление от no-reply@info.coinbase.com.
• Coinbase дала прозрачный список типов затронутых данных.
• Coinbase выплатила возмещение пострадавшим после проверки фактов.
• Правоохранительные органы начали расследование по указанным данным.

Когда обращаться в правоохранительные органы и банки

• Если вы обнаружили несанкционированные списания с банковской карты или счёта — немедленно сообщите в банк.
• Если вам угрожают или требуют перевести деньги под давлением — обратитесь в полицию и сохраните всю переписку.

Часто задаваемые вопросы

Крадено ли моё состояние или приватные ключи?

Нет. Coinbase заявляет, что логины, пароли, коды 2FA и приватные ключи не были украдены и доступ к средствам через платформу не получен.

Как понять, что мои данные были скомпрометированы?

Coinbase должна была отправить уведомление на ваш зарегистрированный e‑mail. Также будьте внимательны к персонализированным фишинговым звонкам и сообщениям, содержащим точные данные из вашего аккаунта.

Что делать, если я отправил деньги мошенникам?

Сохраните все доказательства переписки и транзакции и подайте запрос в Coinbase на возмещение. Также уведомьте свой банк и правоохранительные органы.

Резюме

• Утечка затронула персональные данные клиентов через мошенническое вовлечение сотрудников поддержки.
• Средства и ключи напрямую не были скомпрометированы, но риск фишинга и социальной инженерии возрастает.
• Действуйте быстро: включите allow-list, перейдите на аппаратную 2FA, задокументируйте любые мошеннические операции и обращайтесь в Coinbase и банки для возмещения и расследования.

Важно: сохраняйте спокойствие, действуйте через официальные каналы и не доверяйте сообщениям, которые требуют передачи паролей или кодов.