Secondo un'indagine di Reuters, Coinbase è stata informata già a gennaio 2025 di una violazione che ha coinvolto agenti di assistenza clienti esternalizzati in India. Sei persone a conoscenza della questione hanno dichiarato al rapporto che l'exchange di criptovalute era a conoscenza della compromissione di dati sensibili degli utenti tramite il suo appaltatore, TaskUs, mesi prima del suo annuncio ufficiale di maggio.
In un documento depositato presso la SEC il 14 maggio, TaskUs ha documentato una parte della violazione in cui una dipendente di TaskUs, con sede in India, è stata sorpresa a scattare foto dello schermo del computer di lavoro con il suo telefono personale. Cinque ex dipendenti di TaskUs hanno confermato che la dipendente e un presunto complice sarebbero stati corrotti dagli hacker per ottenere i dati degli utenti di Coinbase.
Coinbase è stata immediatamente allertata, hanno dichiarato tre dipendenti e un'altra fonte. Poco dopo, più di 200 dipendenti sono stati licenziati dal centro TaskUs di Indore, attirando l'attenzione dei media in India. Inizialmente, Coinbase ha attribuito la responsabilità ad "agenti di supporto all'estero", ma ora stima che la violazione potrebbe costare all'azienda fino a 400 milioni di dollari.
All'interno della campagna per sfruttare la rete BPO di Coinbase
Coinbase collabora da tempo con TaskUs, un'azienda di outsourcing con sede in Texas, per ridurre i costi del lavoro assegnando compiti di assistenza clienti a team offshore. Dal 2017, gli agenti di TaskUs hanno gestito le richieste dei clienti di Coinbase, spesso provenienti da paesi con salari più bassi. A Indore, in India, questi agenti guadagnavano tra i 500 e i 700 dollari al mese, una cifra sufficientemente bassa da indurre a ricorrere a tangenti.
Nella documentazione depositata a maggio, Coinbase ha ammesso di non essere a conoscenza della reale portata dell'attacco fino all'11 maggio, quando ha ricevuto una richiesta di estorsione di 20 milioni di dollari. In risposta, l'azienda ha interrotto i rapporti con i dipendenti di TaskUs responsabili della violazione, nonché con altri appaltatori stranieri non identificati. Coinbase ha inoltre affermato di aver informato le autorità di regolamentazione, rimborsato gli utenti interessati e rafforzato i propri controlli interni.
Nella sua dichiarazione pubblica, TaskUs ha ammesso di aver licenziato due dipendenti per furto di dati, ma non ha fatto il nome di Coinbase. L'azienda ha affermato che i due facevano parte di una campagna criminale coordinata che aveva colpito altri fornitori di servizi legati al cliente.
Gli hacker hanno utilizzato l'ingegneria sociale per ingannare gli utenti di Coinbase
I wallet di criptovalute di Coinbase non sono stati violati direttamente durante l'attacco. Invece, gli hacker hanno utilizzato le informazioni personali rubate per impersonare dipendenti di Coinbase in un'ondata di truffe di ingegneria sociale. Si spacciavano per agenti di supporto, inducendo le vittime a trasferire i loro asset crittografici.
Gli esperti di sicurezza ritengono che la violazione sia stata orchestrata da un gruppo poco organizzato, noto come "The Comm". Il gruppo è composto da giovani hacker esperti in attacchi di alto profilo, tra cui quelli ai danni di casinò e aziende di criptovalute.
Un rapporto di Fortune ha inoltre affermato che gli hacker assegnavano ruoli diversi ai loro membri: alcuni corrompevano gli addetti ai lavori per rubare dati, mentre altri mettevano in atto le truffe. Piattaforme di social media come Telegram e Discord venivano utilizzate per coordinare le operazioni e dividere i proventi.
Gli investigatori hanno notato che i tentativi di impersonificazione erano più efficaci perché i truffatori che prendevano di mira i clienti di Coinbase parlavano fluentemente inglese nordamericano. I truffatori riuscivano a sfruttare le informazioni rubate per apparire sufficientemente credibili da convincere gli utenti a consegnare le loro criptovalute.
Anche dopo la violazione, Coinbase sta intensificando le sue attività. L'azienda è recentemente entrata nell'indice S&P 500 e ha annunciato un'acquisizione strategica. Il CEO Brian Armstrong ha dichiarato di voler continuare a rendere Coinbase un'app leader a livello globale per i servizi finanziari entro i prossimi 10 anni.
L'attacco a Coinbase avviene in un momento in cui gli attacchi informatici ai danni di criptovalute hanno registrato una crescita esponenziale, superando i 2,2 miliardi di dollari entro il 2024, come riportato da Chainalysis, evidenziando i pericoli dell'outsourcing e la crescente sofisticatezza digitale degli aggressori.
Cryptopolitan Academy: Vuoi far crescere il tuo denaro nel 2025? Scopri come farlo con la DeFi nel nostro prossimo corso online. Prenota il tuo posto