Крупнейшая американская криптовалютная биржа Coinbase подтвердила новую утечку пользовательских данных, произошедшую на стороне внешнего подрядчика. По данным компании, злоумышленники получили доступ к информации примерно 30 клиентов. Инцидент относится к декабрю 2025 года и не связан с ранней массовой компрометацией, связанной с аутсорсером TaskUs.
Новая утечка данных Coinbase через подрядчика: ключевые детали инцидента
По сообщениям представителей Coinbase, служба безопасности компании выявила, что один из подрядчиков получил несанкционированный доступ к данным ограниченного круга клиентов. Официально заявлено о «очень небольшом числе пострадавших» — около 30 учетных записей. Подрядчик, допустивший нарушение, больше не сотрудничает с биржей.
Coinbase уведомила всех затронутых клиентов и предоставила им услуги по защите от кражи личности. О произошедшем проинформированы регуляторы, что соответствует требованиям к обработке инцидентов утечки данных в финансовом и криптовалютном секторах. Компания не раскрывает точный перечень скомпрометированных полей, однако подчеркивает, что речь идет о локальном, а не массовом инциденте.
Какие данные могли оказаться под угрозой
Хотя Coinbase не публикует детальный перечень скомпрометированных данных по новому эпизоду, в подобных случаях под угрозой зачастую оказываются персональные идентификаторы (ФИО, дата рождения, контактные данные), а также фрагменты KYC-информации (документы, подтверждающие личность). Такие данные особенно ценны для киберпреступников, поскольку позволяют проводить целевые фишинговые атаки и мошенничество с кражей личности.
Предыдущая крупная утечка Coinbase: роль TaskUs и масштаб последствий
Новый инцидент важно рассматривать на фоне массовой утечки начала 2025 года, когда злоумышленники подкупили двух сотрудников индийской аутсорсинговой компании TaskUs, обслуживавшей поддержку клиентов Coinbase. Тогда были скомпрометированы данные почти 70 000 пользователей биржи.
В распоряжение хакеров попали даты рождения, последние четыре цифры номеров социального страхования, почтовые адреса, номера телефонов и email-адреса. В ряде случаев были скомпрометированы даже сканы водительских удостоверений и паспортов, использовавшихся в процедурах KYC/AML. После этого киберпреступники требовали у Coinbase выкуп в размере 20 млн долларов США, однако компания отказалась удовлетворять эти требования.
Такой сценарий хорошо иллюстрирует типичную для криптоиндустрии модель шантажа: сначала похищение высокочувствительных идентификационных данных, затем — попытка монетизации через вымогательство или продажу массивов на теневых рынках.
Scattered Lapsus$ Hunters и компрометация внутренних инструментов поддержки
Заявление Coinbase о новой утечке прозвучало вскоре после того, как в Telegram группа Scattered Lapsus$ Hunters опубликовала, а затем удалила скриншоты внутреннего интерфейса службы поддержки биржи. На изображениях была видна панель с доступом к данным клиентов: email-адресам, именам, датам рождения, телефонным номерам, KYC-информации, балансам криптокошельков и истории транзакций.
На данный момент нет подтверждения, что эта группировка прямо причастна к декабрьской утечке через подрядчика. Не исключено, что скриншоты могли быть получены от третьих злоумышленников. При этом необходимо учитывать предысторию: ранее Scattered Lapsus$ Hunters уже фигурировала в расследованиях, связанных с подкупом сотрудников крупных компаний, в том числе поставщиков решений в сфере кибербезопасности.
Аналитика: риски аутсорсинга и цепочки поставок для безопасности криптобирж
Почему подрядчики остаются слабым звеном
Инциденты с Coinbase демонстрируют классическую проблему рисков цепочки поставок (supply chain risk). Даже если сама криптобиржа инвестирует значительные ресурсы в кибербезопасность, любое слабое звено — подрядчик по поддержке, верификации KYC или облачный провайдер — может стать точкой входа для атакующих.
По данным отраслевых отчетов, значительная доля крупных утечек данных в финансовом секторе так или иначе связана с третьими сторонами: аутсорсинговыми колл-центрами, вендорами по обработке платежей или провайдерами ИТ-сервисов. В криптоиндустрии эта проблема усугубляется высокой стоимостью активов и ценностью идентификационных данных клиентов.
Какие меры нужны бизнесу
Компании, работающие с криптовалютами и персональными данными, вынуждены выстраивать полноценную систему управления рисками подрядчиков (Third-Party Risk Management, TPRM): жесткие договорные требования по безопасности, технический контроль доступа к данным, принцип «минимально необходимого доступа», периодический аудит и мониторинг аномальной активности со стороны внешних аккаунтов.
Отдельное значение имеет внедрение концепции Zero Trust, при которой даже доверенным подрядчикам не предоставляется неограниченный доступ к критическим системам. Действия каждого пользователя — внутреннего или внешнего — должны логироваться, коррелироваться и анализироваться системами обнаружения аномалий.
Пользователи криптобирж в такой ситуации также могут снизить свои риски. Практические шаги включают использование двухфакторной аутентификации (желательно с аппаратными ключами), отдельного email-адреса для биржевых аккаунтов, регулярный мониторинг входящих писем на предмет целевого фишинга, а также проверки кредитной истории и, при необходимости, установки заморозки кредитного отчета.
История с Coinbase еще раз подчеркивает: даже крупные и регулируемые криптобиржи уязвимы к утечкам через подрядчиков и злоупотреблениям внутри цепочки поставок. Пользователям имеет смысл исходить из того, что любая переданная KYC-информация теоретически может быть скомпрометирована, и заранее выстраивать личную стратегию кибергигиены — от продуманного управления аккаунтами до использования сервисов по мониторингу и защите от кражи личности.
