录音实锤:Coinbase早知数据泄露却拖延数月才公开

一名用户遭遇了一场极其复杂的钓鱼攻击,攻击者掌握了其 Coinbase 账户中包括社保号和比特币余额在内的详细个人信息。用户在 2025 年 1 月就向 Coinbase 提交了关于数据泄露的详细证据,但其关键问题被忽视。直到四个月后,Coinbase 才公开承认,有海外外包员工收受贿赂,泄露了客户数据。这一事件暴露了该平台在数据保护、应急响应和透明度方面的严重不足,并引发了对其为何拖延数月才披露早已存在的安全漏洞的质疑。

一场精心策划的攻击

2025 年 1 月 7 日,用户收到一封看似来自 Coinbase 的邮件,声称有一笔 2.93 ETH 的提款正在处理中。几分钟后,一名自称是 Coinbase 欺诈预防代表的女性来电。

这次攻击的惊人之处在于,攻击者掌握了极其私密的信息:

    • 用户的社会安全号码
    • 精确到小数点的 比特币余额
    • 其他本应只有 Coinbase 知道的个人资料。

这显然不是一次普通的钓鱼尝试,而是一次基于内部数据泄露的高度复杂攻击。

无法解释的时间线:四个月的沉默

用户的行动和 Coinbase 的反应之间存在着令人不安的时间差,这构成了事件的核心问题。

    • 2025年1月7日: 用户遭到攻击,并立即向 Coinbase 安全团队提交了一份“极其详尽”的报告。
    • 2025年1月7日: Coinbase 的信任与安全主管 Brett Farmer 回复称:“这份报告非常详尽,给了我们很多调查线索。我们正在调查这个骗子。”
    • 2025年1月13日: 用户追问关键问题:“攻击者如何知道我的比特币持有余额?” —— 没有回应
    • 1月17日至1月29日: 用户多次追问,均未得到任何答复。
    • 2025年5月15日: Coinbase 首次公开披露 数据泄露事件。

从用户报告明确的泄露证据到 Coinbase 公开承认,中间隔了整整 四个月。在这期间,用户关于核心数据如何泄露的关键问题被完全无视。

Coinbase 最终披露的真相

直到 2025 年 5 月,Coinbase 才承认,网络犯罪分子贿赂了其海外客户支持承包商(特别是位于印度的 TaskUs 公司的员工),窃取了大量敏感客户数据。

被泄露的信息包括:

    • 姓名、地址和电话号码
    • 电子邮件地址
    • 社会安全号码后四位
    • 政府颁发的身份证件照片
    • 账户余额和交易历史

Coinbase 估计此次事件影响了不到 1% 的用户,造成的经济损失在 1.8 亿至 4 亿美元之间,并解雇了超过 200 名涉事外包员工。

用户提供的确凿证据

用户在 1 月 7 日提交的报告并非简单的投诉,而是一份详细的技术分析,本应立即触发数据泄露警报。

报告内容包括:

    • 完整的邮件头文件,证明邮件来自亚马逊服务器而非 Coinbase 官方服务器。
    • 攻击者使用的电话号码 (1-805-885-0141),后被证实是一个谷歌语音号码。
    • 与骗子的通话录音,记录了对方展示其掌握用户私密信息的过程。
    • 攻击者掌握的具体数据清单,包括社保号、比特币余额、账户注册日期等。
    • 攻击后遭遇的短信轰炸,这是一种用于掩盖真实安全验证码的常见攻击手段。

Brett Farmer 称赞这份报告“极其详尽”,并承诺会进行调查。但当用户问到最关键的问题——“攻击者如何知道我的数据?”时,沟通就此中断。

Coinbase 在此次事件中的严重失误

    • 外包安全敏感岗位: 将能接触到社保号、账户余额等核心数据的权限授予薪资较低的海外承包商,为小额贿赂换取高价值数据的犯罪行为创造了条件。

    • 失败的内部监控: Coinbase 声称在 5 月 11 日因收到 2000 万美元的勒索请求才“发现”此次泄露。但用户的案例证明,早在四个月前,这些被盗数据就已被积极用于攻击客户。其内部监控系统显然未能发现异常。

    • 对用户报告的漠视: 面对一份包含录音、邮件头文件和具体泄露数据清单的“极其详尽”的报告,Coinbase 未能采取应有的重视和调查。如果当时认真对待,本可以在一月份就发现内部威胁,保护更多用户。

    • 延迟信息披露: 从用户一月份报告到五月份公开承认,长达四个月的延迟引发了严重质疑。如果不是因为攻击者发起勒索,Coinbase 是否会主动披露这次泄露?

如何保护自己免受类似攻击

当平台发生数据泄露时,你的个人信息可能已经暴露。以下是如何保护自己的方法:

    • 永远不要相信来电显示: 骗子可以伪造任何号码。挂断电话,通过官方网站查找并回拨该公司的客服号码。
    • 假设骗子已掌握你的信息: 不要因为对方知道你的私密信息就信任他们。真正的验证应该是双向的。
    • 直接检查你的账户: 如果收到可疑警报,不要点击邮件中的链接。直接在浏览器中输入官方网址,登录你的账户进行核实。
    • 拒绝在压力下转移资金: 任何催促你立即“为保护账户安全”而转移资金或下载软件的行为都是骗局。
    • 使用更安全的双因素认证 (2FA): 短信 2FA 容易被拦截或通过短信轰炸被淹没。优先使用 硬件安全密钥 (如 YubiKey)身份验证器应用 (如 Google Authenticator)
    • 详细报告可疑活动: 如果你成为攻击目标,请向相关公司提供所有细节。你的报告可能是揭露更大规模安全事件的关键线索。