Одна з найбільших криптовалютних бірж США Coinbase підтвердила ще один інцидент витоку даних, пов’язаний не з власною інфраструктурою, а з зовнішнім підрядником. Згідно з офіційною заявою компанії, неналежний доступ було отримано до даних приблизно 30 клієнтів, а сам інцидент відбувся у грудні 2025 року та не пов’язаний із більш масштабною компрометацією початку року, що стосувалася аутсорсера TaskUs.
Нова утечка даних Coinbase через підрядника: що підтвердила компанія
За інформацією Coinbase, служба безпеки виявила, що один із зовнішніх постачальників послуг отримав несанкціонований доступ до обмеженого набору клієнтських записів. Мова йде про «дуже невелику кількість постраждалих» – орієнтовно 30 акаунтів. Підрядник, на стороні якого сталося порушення, припинив співпрацю з біржею.
Компанія повідомила всіх користувачів, чиї дані могли бути скомпрометовані, та надала їм послуги з захисту від крадіжки особистості. Також про інцидент поінформовано регуляторів, що відповідає вимогам до розкриття порушень безпеки в фінансовому та криптовалютному секторах. Coinbase не деталізує конкретний перелік полів, які опинилися під загрозою, наголошуючи, що йдеться про локальний, а не масовий витік.
Які дані могли опинитися під загрозою
Хоча детальний технічний звіт не оприлюднюється, практика подібних інцидентів у галузі показує, що найчастіше атакувальників цікавлять персональні ідентифікатори (ПІБ, дата народження, номер телефону, поштова та email-адреса), а також елементи KYC-даних – скани документів, що посвідчують особу, або дані, які використовуються для проходження процедури «знай свого клієнта».
Такі відомості є особливо цінними для кіберзлочинців, оскільки дозволяють проводити цільові фішингові кампанії, атакувати акаунти на інших сервісах, оформлювати кредити на ім’я жертв чи здійснювати шахрайство з крадіжкою особистості.
Масштабна компрометація TaskUs: до 70 000 клієнтів Coinbase
Новий епізод варто розглядати в контексті попередньої, значно масштабнішої утечки на початку 2025 року, коли було скомпрометовано дані майже 70 000 користувачів Coinbase. Тоді зловмисники підкупили двох співробітників індійської аутсорсингової компанії TaskUs, яка надавала послуги з підтримки клієнтів біржі.
У розпорядження хакерів потрапили дати народження, останні чотири цифри номерів соціального страхування, поштові адреси, номери телефонів та email-адреси клієнтів. У частині випадків було отримано навіть скани паспортів та водійських посвідчень, що використовувались у KYC/AML-процедурах.
Після цього нападники вимагали у Coinbase викуп у розмірі 20 млн доларів США, однак компанія відмовилася виконувати вимоги. Подібний сценарій відповідає поширеній моделі шантажу в криптоіндустрії: спершу викрадення критично чутливих ідентифікаційних даних, потім – спроба монетизувати їх через вимагання або продаж масивів на тіньових ринках.
Scattered Lapsus$ Hunters і доступ до внутрішніх інструментів підтримки
Заява Coinbase про нову утечку пролунала невдовзі після того, як у Telegram-групі Scattered Lapsus$ Hunters з’явилися, а згодом були видалені, скриншоти внутрішнього інтерфейсу служби підтримки біржі. На зображеннях було видно панель з доступом до даних клієнтів: email-адрес, імен, дат народження, номерів телефонів, KYC-інформації, балансів криптогаманців та історії транзакцій.
Наразі немає офіційного підтвердження, що саме ця група безпосередньо причетна до грудневого інциденту з підрядником. Не виключено, що скриншоти могли бути отримані від інших зловмисників. Водночас Scattered Lapsus$ Hunters уже фігурувала в розслідуваннях, пов’язаних із підкупом співробітників великих компаній, у тому числі постачальників кібербезпекових рішень.
Ризики аутсорсингу та ланцюга постачання для безпеки криптобірж
Історія з Coinbase наочно демонструє класичну проблему ризиків ланцюга постачання (supply chain risk). Навіть якщо сама криптобіржа вкладає значні ресурси в кібербезпеку, будь-який підрядник – контакт-центр, KYC-провайдер або хмарний оператор – може стати слабкою ланкою та точкою входу для атак.
За даними галузевих досліджень, суттєва частка великих витоків у фінансовому секторі пов’язана саме з третіми сторонами. Звіт IBM Cost of a Data Breach та щорічний Verizon DBIR стабільно фіксують, що інциденти, зумовлені підрядниками та партнерами, становлять помітну частину всіх порушень безпеки. У криптоіндустрії ризики ще вищі через велику вартість активів і високу привабливість KYC-даних.
Як бізнесу посилити захист: TPRM та Zero Trust
Компаніям, які працюють з криптовалютами та персональними даними, необхідно впроваджувати комплексну систему Third-Party Risk Management (TPRM). Це включає жорсткі договірні вимоги до безпеки, принцип мінімально необхідного доступу для підрядників, регулярний аудит, а також моніторинг аномальної активності зовнішніх облікових записів.
Критично важливим підходом стає концепція Zero Trust, за якою жоден користувач чи сервіс – навіть «перевірений» підрядник – не отримує безумовної довіри та необмеженого доступу. Усі дії мають логуватися, корелюватися в SIEM-системах і аналізуватися рішеннями для виявлення аномалій.
Що можуть зробити користувачі криптобірж
Клієнтам криптобірж доцільно виходити з припущення, що будь-які передані KYC-дані теоретично можуть бути скомпрометовані, і заздалегідь будувати власну стратегію кібергігієни:
По-перше, використовувати двохфакторну аутентифікацію, віддаючи перевагу апаратним ключам безпеки або одноразовим кодам через окремі додатки, а не SMS.
По-друге, завести окрему email-адресу для криптобірж та фінансових сервісів, щоб зменшити ефективність фішингу та мінімізувати наслідки витоків.
По-третє, регулярно перевіряти вхідні листи на предмет цільового фішингу, уважно ставитися до посилань і вкладень, а також використовувати сервіси моніторингу кредитної історії. У деяких юрисдикціях варто розглянути можливість тимчасової заморозки кредитного звіту, щоб ускладнити відкриття кредитів на ваше ім’я.
Ситуація з повторними витоками даних Coinbase вкотре показує: навіть великі та регульовані криптобіржі залишаються вразливими до інцидентів на стороні підрядників і в ланцюгу постачання. Саме тому бізнесу необхідно системно інвестувати в TPRM та Zero Trust-архітектуру, а користувачам – підвищувати власну кіберграмотність, посилювати захист акаунтів і проактивно стежити за можливими ознаками зловживань своїми персональними даними.
