商傳媒|記者責任編輯/綜合外電報導
根據美國最大加密貨幣交易所Coinbase本週向美國證券交易委員會(SEC)提交文件披露,駭客透過收買海外客服外包人員,非法存取用戶個資並進行社交工程詐騙,初估事件可能帶來高達4億美元損失。
不僅傳出駭客事件導致用戶資料外洩,15日更傳出Coinbase遭美國證券交易委員會(SEC)調查涉嫌誇大平台用戶數。消息一出導致Coinbase股價再度重挫,早盤一度跌逾6%。
外電報導指出,Coinbase於5月11日收到匿名勒索電郵,對方聲稱已取得部分Coinbase客戶帳號資訊、內部客服作業文件與帳戶管理系統資料,要求支付金額以換取不公開資料。Coinbase強調未與駭客協商,也未支付任何贖金,並已報警並配合執法單位展開調查。
雖然這起事件未涉及用戶密碼與私鑰外洩,但Coinbase坦承,部分客戶的姓名、地址、電話、電子郵件、隱碼處理後的銀行帳號與身份證資訊、政府身分證影像與帳戶餘額全部遭駭。Coinbase強調:「受影響用戶僅占少數,Prime機構帳戶並未遭入侵,公司會對受騙將資金轉給駭客的客戶進行補償」。
根據Coinbase部落格說明指出,公司內部早在先前即偵測到可疑存取,並立刻開除涉案人員,同時加強內部資安監控系統與客戶防詐教育。據悉,駭客是透過金錢收買支援外包單位中,具系統存取權限的人員,藉此滲透系統盜取資訊。
Coinbase透露,該攻擊行動的勒索金高達2,000萬美元,但公司已明確拒絕支付,並反向設立2,000萬美元懸賞金,提供任何可導致攻擊者被捕與定罪的線索者。
根據《紐約時報》報導,SEC調查焦點為Coinbase過去於證券申報與行銷資料中聲稱平台擁有逾1億「驗證用戶」,但此定義僅涵蓋已完成電郵或電話驗證者,可能高估實際活躍客戶數。該調查起自拜登政府時期,延續至目前相對友善加密產業的川普政府SEC之下。
對此,Coinbase首席法務長Paul Grewal向CNBC回應:「這是一項來自前一屆政府的舊案,調查的指標我們已在兩年半前停止使用,並於當時完整揭露給投資人」。
Coinbase近期剛宣布一項全球業務併購案,並即將在下週正式納入標普500指數,此時正值擴張關鍵時刻卻爆發內控漏洞,令投資人信心受挫。Coinbase執行長Brian Armstrong日前曾於法說會中立下目標,要將Coinbase打造成「全球第一的金融服務App」,如今面臨嚴峻的資安挑戰,恐成為Coinbase邁向全球化的一道陰影。
