原文作者:Ben Weiss、Jeff John Roberts
原文编译:Luffy,Foresight News
Coinbase 联合创始人兼首席执行官 Brian Armstrong 于 2022 年在印度班加罗尔的一次活动上发表讲话
2025 年 5 月 15 日,Coinbase 披露其数万客户的个人数据遭窃取,这是该公司历史上最大的安全事件,预计将造成高达 4 亿美元的损失。此次数据泄露不仅因其规模引人注目,更在于黑客的攻击手段:贿赂海外客户客服人员以获取机密客户信息。
Coinbase 公开表示将向提供线索、帮助犯罪分子被捕和定罪的举报人支付 2000 万美元奖金,但对于攻击者身份或黑客攻击细节却披露甚少。
《财富》杂志最近的一项调查(包括查阅 Coinbase 与一名黑客之间电子邮件)揭示了该事件的新细节,暗示一个由说英语的年轻黑客组成的松散网络是部分责任方。与此同时,调查结果还凸显了所谓的 BPO(业务流程外包单位)是科技公司安全运营的薄弱环节。
内鬼作案:外包客服成为突破口
故事始于德克萨斯州纽布朗费尔斯的一家小型上市公司 TaskUs。与其他 BPO 一样,该公司通过雇佣海外员工以低成本为大型科技公司提供客户服务。据该公司发言人透露,今年 1 月,TaskUs 从其位于印度印多尔的服务中心解雇了 226 名员工为 Coinbase 工作。
根据向美国证券交易委员会提交的文件,自 2017 年以来,TaskUs 一直为 Coinbase 提供客户服务人员,这种合作关系为这家美国加密巨头节省了大量劳动力成本。但问题在于:当客户发送电子邮件询问其账户或 Coinbase 新产品时,他们很可能在与海外的 TaskUs 员工交谈。由于这些代理的工资低于美国本土员工,他们更容易被贿赂。
「今年早些时候,我们发现两名个人非法访问了我们一个客户的信息,」TaskUs 发言人在提及 Coinbase 时告诉《财富》杂志,「我们认为这两人是受雇于一场针对 Coinbase 的更广泛、有组织的犯罪活动,该活动还影响了 Coinbase 提供服务的许多其他供应商。」
根据 Coinbase 的监管文件,TaskUs 在今年 1 月解雇员工,距离 Coinbase 发现客户数据被盗不到一个月(注:Coinbase 在 2024 年 12 月就发现了数据泄露)。周二,在纽约代表 Coinbase 客户提起的联邦集体诉讼指控 TaskUs 在保护客户数据方面存在疏忽。「虽然我们无法对诉讼发表评论,但我们认为这些指控没有根据,我们将为自己辩护,」TaskUs 发言人表示,「我们将保护客户数据置于最高优先级,并会继续加强我们的全球安全协议和培训计划。」
一位了解该安全事件的知情人士表示,黑客还成功攻击了一些其他 BPO 公司,而且每次事件中被盗数据的性质各不相同。
这些被盗数据不足以让黑客闯入 Coinbase 的加密金库,但确实提供了丰富的信息,帮助犯罪分子伪装成虚假的 Coinbase 客服,联系客户并说服他们交出加密资产。该公司表示,黑客窃取了超过 6.9 万名客户的数据,但未说明其中有多少人成为所谓 「社会工程骗局」 的受害者。本案中,社会工程骗局涉及犯罪分子利用被盗数据冒充 Coinbase 员工,说服受害者转移其加密资产。
Coinbase 在一份声明中表示:「正如我们已经披露的那样,我们最近发现一个威胁行为者曾要求海外客服获取可追溯至 2024 年 12 月的客户账户信息。我们已通知受影响的用户和监管机构,切断了与涉案 TaskUs 人员和其他海外客服的联系,并加强了管控。」 声明还补充说,正在向在诈骗中损失资金的客户进行赔偿。
冒充公司代表进行的社会工程诈骗并不新鲜,但黑客针对 BPO 公司进行攻击的规模颇为罕见。虽然尚未有人明确指认犯罪者,但一些线索强烈指向一个由讲英语的年轻黑客组成的松散组织。
青少年黑客团伙:「它们来自电子游戏」
在 5 月中旬 Coinbase 数据泄露事件披露后的几天里,《财富》杂志在 Telegram 上与一名自称 「puffy party」 的男子进行了交流,他声称自己是黑客之一。
另外两名与这名匿名黑客交谈过的安全研究人员告诉《财富》杂志,他们认为此人可信。其中一人说:「根据他与我分享的内容,我认真推敲过他的陈述,并且无法找到证据证明他的陈述是虚假的。」 两名研究人员都要求匿名,因为他们担心因与所谓的黑客交谈而收到传票。
在交流中,该男子分享了许多截图,称这些是与 Coinbase 安全团队的电子邮件往来。他与 Coinbase 沟通时使用的名字是 「Lennard Schroeder」。他还分享了一个属于 Coinbase 前高管的账户截图,其中显示了加密交易和大量个人详细信息。
Coinbase 没有否认这些截图的真实性。
这名自称黑客分享的电子邮件包括以 2000 万美元比特币进行勒索的威胁(Coinbase 拒绝支付),以及关于黑客团伙将用部分赃款为该公司光头 CEO Brian Armstrong 购买头发的嘲讽评论。「我们愿意赞助植发手术,让他可以潇洒地环游世界,」 黑客写道。
在 Telegram 消息中,此人(《财富》杂志从一名安全研究人员处得知其存在)表达了对 Coinbase 的蔑视。
许多加密货币抢劫案是由俄罗斯犯罪团伙或朝鲜军方实施的,但据称此次黑客是由一群被称为 「Comm」 或 「Com」的青少年和 20 多岁年轻人组成的松散联盟所为。
在过去两年中,关于 Comm 团伙的报道出现在其他黑客事件的媒体报道中,包括《纽约时报》本月早些时候的一篇报道,其中一名涉嫌实施一系列加密货币盗窃的嫌疑人自称是该组织成员。据《华尔街日报》报道, 2023 年,调查人员认定为该组织的黑客攻击了拉斯维加斯几家线上运营的赌场,并试图向米高梅度假村勒索 3000 万美元。
与通常只追求金钱的俄罗斯和朝鲜加密黑客不同,Comm 团伙成员往往既想引起注意,又追求恶作剧的快感。他们有时会合作进行黑客攻击,但也会相互竞争,看谁偷得更多。
「他们来自电子游戏,然后把高分带到现实世界,」 加密取证调查公司 Cryptoforensic Investigators 调查总监 Josh Cooper-Duckett 说,「在这个世界里,他们的分数就是偷了多少钱。」
在 Telegram 消息中,这名所谓的黑客表示,Comm 的成员专门负责抢劫的不同环节。他的团队贿赂客服并收集客户数据,然后将数据交给团队外精通社会工程骗局的其他人。他们补充说,不同的 Comm 附属团体在 Telegram 和 Discord 等社交平台上协调如何执行行动的不同部分,并分配赃款。
加密调查公司 Tracelon 的创始人 Sergio Garcia 告诉《财富》杂志,黑客对 Coinbase 攻击的描述与他对 Comm 团伙运作方式和其他加密社会工程骗局的观察相符。知情人士称,最近在社会工程骗局中攻击客户的人说着一口地道的北美英语。
据一位了解 BPO 员工工资的消息人士透露,印度 TaskUs 员工的月薪在 500 至 700 美元之间。TaskUs 拒绝置评。Garcia 告诉《财富》杂志,尽管这一数字高于印度的人均国内生产总值,但客服的低工资往往使他们更容易接受贿赂。「显然,这是链条中最薄弱的环节,因为他们有经济动机接受贿赂,」 他补充道。
