URL has been copied successfully!
Wie Erpresser an Coinbase scheiterten
URL has been copied successfully!

Collecting Cyber-News from over 60 sources

Wie Erpresser an Coinbase scheiterten


Tags: , , , , , , , , , , , ,

Transparenz und schonungslose Aufarbeitung stehen bei Coinbase im (Security-)Fokus.

CoinbaseAnfang Mai 2025 ging beim auf Kryptowährungen spezialisierten Finanzdienstleister Coinbase eine E-Mail von Cyberkriminellen ein. Wie dem zugehörigen Bericht an die US-Börsenaufsicht SEC zu entnehmen ist, behaupteten die Kriminellen, Kundendaten sowie interne Dokumente des Unternehmens erlangt zu haben. Sie drohten damit, diese im Netz zu veröffentlichen, falls das Unternehmen kein Lösegeld zahlt.Wie sich im Nachgang herausstellte, hatten die Angreifer Mitarbeiter eines Dienstleisters von Coinbase in Indien bestochen, um an Zugangsdaten für die internen Systeme der weltweit größten Kryptobörse zu kommen. Für Philip Martin, Chief Security Officer von Coinbase, manifestierte sich damit eine neue Evolutionsstufe der Cyberkriminalität: “Bis zu diesem Zeitpunkt war mir kein anderer Fall bekannt, bei dem Bestechungsgelder in diesem Ausmaß eingesetzt wurden sowohl was den langfristigen Fokus der Angreifer, als auch was die Höhe der Gelder angeht.”Wir haben mit dem Coinbase-CSO die Details dieses Angriffs erörtert und wie das Unternehmen darauf geantwortet hat. Im Dezember 2024 begannen die Angreifer damit, Kundendienstmitarbeiter von Coinbase ins Visier zu nehmen, die beim Outsourcing-Dienstleister TaskUs in Indore, Indien tätig waren. Diesen boten sie für die Weitergabe von Daten Bestechungsgelder in Höhe von bis zu 2.500 Dollar pro Person an. Von dem so bewerkstelligten Datendiebstahl war circa ein Prozent der monatlich auf Coinbase aktiven Nutzer betroffen konkret etwa 70.000. Die erbeuteten Informationen enthielten zwar keine privaten Keys, Account- und Wallet-Zugangsdaten, aber eine Reihe anderer, personenbezogener und interner Daten, die sich beispielsweise für Social Engineering nutzen ließen. Etwa:
Informationen zu Benutzerkonten wie Portfoliowert und Transaktionshistorie,Kontaktinformationen wie E-Mail-Adressen und Telefonnummern,maskierte Sozialversicherungsnummern und Bankdaten,Identitätsnachweise in Form von Ausweisen und Führerscheinen, sowieSchulungsmaterial für Kundendienstmitarbeiter und weitere, interne Dokumente.    In der Folge forderten die Cyberkriminellen von Coinbase ein Lösegeld in Höhe von 20 Millionen Dollar, um eine Veröffentlichung im Netz, respektive eine Offenlegung der Vorgänge zu verhindern. Darauf reagierte das Kryptounternehmen, indem es sich öffentlich weigerte, zu bezahlen und stattdessen im Gegenzug ein “Kopfgeld” in Höhe des geforderten Betrages auf die Kriminellen aussetzte.  Darüber hinaus versprach Coinbase betroffenen Kunden, die auf Social-Engineering-Attacken der Angreifer hereingefallen waren, vollumfänglich zu entschädigen aus freien Stücken. In Kooperation mit Partnern flaggte der Zahlungsdienstleister zudem die Blockchain-Adressen der Angreifer, um die Strafverfolgungsbehörden bestmöglich dabei zu unterstützen, die Kriminellen aufzuspüren und gestohlene Assets wiederzubeschaffen. Die outgesourcten Innentäter bei TaskUs wurden entlassen und ihre Daten an die zuständigen Strafverfolgungsbehörden übermittelt. Inzwischen arbeitet Coinbase nicht mehr mit dem Dienstleister zusammen. Die Kosten für Abhilfemaßnahmen und Rückerstattungen schätzte die Kryptobörse in ihrer Meldung an die SEC auf 180 bis 400 Millionen Dollar.  

Kryptogigant mit Vorbildfunktion: Unter Cybersecurity-Experten erntete die Reaktion von Coinbase auf den Vorfall großes Lob, insbesondere aufgrund:
der transparenten Kommunikation,der schnellen Problembehebung, sowieder Bereitschaft, betroffene Kunden zu entschädigen.Das schreibt Chief Security Officer Martin einerseits dem allgemeinen Security-Niveau bei Coinbase, andererseits auch seinem Team von rund 300 Security-Experten zu: “Wir investieren viel Zeit und technische Ressourcen, um es Cyberkriminellen so schwer wie nur möglich zu machen, unsere Kunden zu bestehlen. Deshalb gibt es diverse Profis in unserer Organisation, die sich mit den Themen Architektur, Segmentierung und Zugriffskontrollen beschäftigen.”Dass sich der Kryptogigant weigerte, das geforderte Lösegeld zu entrichten, sei dabei nicht nur eine Frage des Prinzips gewesen, wie Martin erläutert: “Natürlich war es auch eine prinzipielle Frage. Auf der anderen Seite ging es um die Daten unserer Kunden und wir sind verpflichtet, diese zu schützen. Es gab davon abgesehen keinen Grund für uns, den Beteuerungen der Kriminellen Glauben zu schenken, die Daten im Fall einer Zahlung nicht zu veröffentlichen.”Jede Zahlung an Cyberkriminelle oder Ransomware-Akteure ermutige diese lediglich, ihr schadhaftes Treiben fortzuführen, so der Sicherheitsentscheider: “Lösegeld zu bezahlen, ist eine kurzsichtige Strategie. Damit finanziert man nur die nächste Attacke, sei es auf sich selbst oder andere.”Allerdings räumt Martin ein, dass es je nach Situation auch sinnvoll sein kann, Lösegeldforderungen nachzukommen: “Geht es um Ransomware, steht man eventuell tatsächlich vor der Wahl, entweder zu bezahlen oder zu riskieren, dass das Unternehmen den Angriff nicht überlebt.”

Philip Martinb2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=300%2C168&quality=50&strip=all 300w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=768%2C432&quality=50&strip=all 768w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=1024%2C576&quality=50&strip=all 1024w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=1536%2C864&quality=50&strip=all 1536w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=1240%2C697&quality=50&strip=all 1240w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=150%2C84&quality=50&strip=all 150w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=854%2C480&quality=50&strip=all 854w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=640%2C360&quality=50&strip=all 640w, b2b-contenthub.com/wp-content/uploads/2025/08/philip-martin-coinbase-16×9-1.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px” />
Bestechungsrisiken reduzieren: Im Rahmen seines Reports an die SEC erklärte Coinbase, dass es aufgrund des Vorfalls plane, ein neues Kunden-Support-Zentrum in den USA zu eröffnen. Ferner werde man weitere Maßnahmen ergreifen, um ähnliche Vorfälle künftig zu verhindern. Allerdings warnt Coinbase-CSO Martin davor, das Problem auf bestimmte Schwellenländer abzuwälzen: “Das wäre ein großer Fehler. Bestechungsversuche können überall auf der Welt zum Problem werden. Meiner Meinung nach hängt das in erster Linie mit der Personalauswahl zusammen. Es gab schließlich auch diverse Mitarbeiter in Indien, die nicht auf die Angebote der Kriminellen eingegangen sind.”Das sieht auch Greg Linares, Principal Threat Intelligence Analyst beim Security-Anbieter Huntress, so: “Bedrohungsakteure nehmen auch Beschäftigte in Industrienationen ins Visier. Das Modell ist dabei ganz einfach: Wenn IT-Experten bei milliardenschweren Konzernen ein Jahresgehalt von 60.000 Dollar verdienen und ihnen das achtfache davon für 15 Minuten ‘Arbeit’ angeboten wird, ist das attraktiv. Ganz besonders, wenn die Aussicht besteht, eventuell unbemerkt damit durchzukommen.”Angesichts der erheblichen Risiken, die mit solchen Bestechungsversuchen im Unternehmensumfeld verbunden sind, sollten Sicherheitsentscheider tätig werden. Silent-Push-Experte Edwards rät etwa dazu, das Thema explizit im Rahmen von Schulungsprogrammen zu behandeln und Red-Teaming-Übungen mit Beschäftigten abzuhalten, die mit Kundendaten arbeiten. “Kundensupport-Teams müssen nicht nur darüber Bescheid wissen, wie mit unbefugten Passwort-Reset-Versuchen umzugehen ist. Sie sollten auch Strategien an die Hand bekommen, um potenzielle Bestechungsversuche zu händeln.”Coinbase-CSO Martin nimmt aus dem Erlebten als zentrales Learning mit, dass Cyberkriminelle unabhängig vom Security-Niveau eines Unternehmens regelmäßig alles versuchen, um einen Weg zu finden, sich dennoch unberechtigten Zugang zu verschaffen. Einhundertprozentige Sicherheit werde es deshalb auch künftig nicht geben, so der Sicherheitsentscheider. Er fügt hinzu: “Oder um es mit Mike Tyson zu sagen: Jeder hat einen Plan, bis er einen Schlag ins Gesicht bekommt.”Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

First seen on csoonline.com

Jump to article: www.csoonline.com/article/4047586/wie-erpresser-an-coinbase-scheiterten.html

Loading

Share via Email
Share on Facebook
Tweet on X (Twitter)
Share on Whatsapp
Share on LinkedIn
Share on Xing
Copy link

also interesting:

  1. Threat-informed defense for operational technology: Moving from information to action
  2. AI disinformation didn’t upend 2024 elections, but the threat is very real
  3. Cybersecurity Snapshot: Study Raises Open Source Security Red Flags, as Cyber Agencies Offer Prevention Tips Against Telecom Spying Attacks
  4. 8 Cyber Predictions for 2025: A CSO’s Perspective