事件概況

Coinbase向美國證券交易委員會（SEC）提交的文件證實，惡意承包商竊取了不到1%平臺用戶的個人數據，并索要2000萬美元贖金。2025年5月11日，該公司收到威脅行為者的勒索郵件，對方聲稱掌握了客戶及內部數據。攻擊者承認通過收買海外支持崗位的承包商，利用其合法訪問權限從Coinbase內部系統提取信息。

事件響應措施

Coinbase表示，過去數月已通過安全監控發現支持人員存在非業務需要的異常數據訪問行為，隨即終止了涉事人員權限，并采取以下措施：

• 增強欺詐監控防護機制
• 向可能受影響的用戶發出預警
• 拒絕支付贖金要求
• 配合執法部門調查

SEC備案文件顯示："公司安全監控系統此前已獨立檢測到這些異常數據訪問行為。發現后立即終止了相關人員權限，同時實施強化防護措施，并通知潛在受影響客戶以防止信息濫用。經評估確認，這些異常訪問屬于同一攻擊活動（即'安全事件'）的組成部分，攻擊者成功獲取了內部系統數據。"

泄露數據范圍

本次事件未涉及密碼、私鑰或客戶資金泄露，但包含以下敏感信息：

• 姓名、地址、電話及電子郵箱
• 部分社會安全號碼（僅顯示末四位）
• 部分銀行賬號及識別信息
• 政府簽發的身份證件圖像（如駕照、護照）
• 賬戶數據（余額快照及交易記錄）
• 有限的企業內部資料（包括支持人員可訪問的文檔、培訓材料和通訊記錄）

攻擊手法分析

Coinbase官網聲明披露："犯罪分子鎖定海外客服人員，通過現金賄賂誘使少數內部人員復制客服工具中的數據，涉及不足1%的月活躍用戶。其目的是獲取客戶名單實施冒充Coinbase的詐騙——誘騙用戶交出加密貨幣。"攻擊者隨后試圖勒索2000萬美元封口費，但遭到公司明確拒絕。

后續補救計劃

Coinbase宣布將采取以下改進措施：

• 經核實后賠償受騙零售用戶
• 在美國新建支持中心
• 全球范圍加強安全控制與監控
• 增加內部威脅檢測與響應投入
• 開展威脅模擬測試查找防御弱點
• 持續向用戶通報調查進展

據估算，該事件將造成1.8億至4億美元損失，主要用于系統修復和用戶賠償，最終影響仍在評估中。