Весною 2025 року одна з найбільших криптобірж світу Coinbase опинилася в центрі масштабного інциденту з витоком даних. Розслідування продовжується й досі, а в індійському Хайдарабаді вже затримано колишнього працівника служби підтримки, який працював через аутсорсингового партнера біржі. За словами CEO Coinbase Брайана Армстронга, цей арешт, найімовірніше, не останній, що вказує на організований характер схеми.
Арешт в Індії: як інсайдери відкрили доступ до даних Coinbase
Ключовою точкою входу для зловмисників стала внутрішня інфраструктура підтримки клієнтів. Кіберзлочинці не зламували периметр у класичному розумінні, а пішли шляхом підкупу персоналу. Декілька співробітників служби підтримки, які обслуговували Coinbase через індійську компанію TaskUs, погодилися надати доступ до внутрішніх систем.
Саме це дало змогу атакувальникам отримати доступ до середовищ, де обробляються й зберігаються персональні дані користувачів біржі, та організувати масове вивантаження конфіденційної інформації. Арешт екс-працівника в Хайдарабаді став одним із перших видимих результатів роботи правоохоронців над цією справою.
Публічні заяви керівництва Coinbase про очікувані нові затримання підтверджують гіпотезу про стійку кримінальну групу, яка спеціалізується на атаках через інсайдерів, а не лише на використанні шкідливого ПЗ чи експлойтів.
Роль TaskUs та ризики аутсорсингу в ланцюгу постачання
Розслідування, що активізувалося влітку 2025 року, показало, що критичним фактором інциденту став саме аутсорсинг підтримки користувачів криптобіржі. Двоє працівників TaskUs, за даними слідства, були підкуплені та надали зловмисникам доступ до внутрішніх інструментів роботи з клієнтськими записами.
У відповідь TaskUs вдалася до радикального кроку — звільнила всіх 226 співробітників відповідного підрозділу, хоча до атаки були безпосередньо причетні лише декілька людей. Така реакція демонструє, наскільки руйнівними можуть виявитися навіть поодинокі інсайдерські інциденти для репутації та бізнесу постачальника послуг.
Відповідно до щорічного Verizon Data Breach Investigations Report, понад 70% витоків даних пов’язані з людським фактором — помилками, соціальним інжинірингом або навмисними діями працівників. Ситуація з Coinbase і TaskUs наочно підтверджує цю статистику та важливість комплексного управління ризиками третіх сторін.
Які персональні дані клієнтів Coinbase були скомпрометовані
Унаслідок атаки було скомпрометовано дані близько 70 000 користувачів Coinbase. До викрадених масивів увійшли:
– дати народження клієнтів;
– останні чотири цифри номера соціального страхування (SSN);
– поштові адреси;
– номери телефонів та email-адреси;
– у частині випадків — скани документів, що посвідчують особу (паспорти, водійські посвідчення та інші документи, використані в рамках KYC-процедур).
Компрометація KYC-даних є особливо критичною. На основі таких комплектів інформації злочинці можуть намагатися проходити верифікацію на інших фінтех-платформах, відкривати фіктивні рахунки, оформлювати кредити на сторонніх осіб або будувати складні сценарії соціальної інженерії, видаючи себе за легітимних клієнтів.
Вимога викупу та реакція Coinbase на шантаж
Після викрадення даних зловмисники висунули до біржі вимогу викупу в розмірі 20 млн доларів США, погрожуючи опублікувати інформацію або продати її на даркнет-майданчиках. Coinbase відмовилася від виплати, зосередивши зусилля на співпраці з правоохоронними органами, форензичному аналізі інциденту та посиленні захисних заходів.
Подібний підхід відповідає усталеним рекомендаціям провідних фахових організацій у сфері кібербезпеки: сплата викупу не гарантує ані знищення, ані нерозповсюдження даних, а також створює небезпечний прецедент, стимулюючи подальші атаки на сектор.
Уроки для криптобірж і фінтех-компаній: як посилити кібербезпеку
Посилений контроль аутсорсингу та ланцюга постачання
Інцидент із Coinbase чітко демонструє, що безпека має охоплювати всю екосистему постачальників, а не обмежуватися межами однієї компанії. Контракти з підрядниками мають включати жорсткі вимоги до захисту персональних даних, аудитів безпеки, реагування на інциденти та навчання персоналу.
Критично важливо дотримуватися принципу мінімально необхідного доступу (need-to-know), обмежуючи обсяг даних, до яких мають доступ аутсорсингові команди підтримки й інші зовнішні партнери.
Управління інсайдерською загрозою та принцип мінімальних привілеїв
Для протидії інсайдерам варто впроваджувати role-based access control (RBAC), розділення прав на перегляд і модифікацію інформації, постійний моніторинг аномальної активності облікових записів і регулярний перегляд прав доступу. Технічні заходи мають доповнюватися перевіркою благонадійності персоналу, антикорупційними політиками та етичними кодексами.
Захист клієнтів після витоку та готовність до інцидентів
У разі витоку персональних даних компанії мають оперативно інформувати користувачів про інцидент, пояснювати можливі ризики та пропонувати конкретні кроки: увімкнення двофакторної автентифікації, зміну паролів, моніторинг кредитної історії, уважне ставлення до підозрілих листів і дзвінків.
Паралельно необхідно посилювати антифрод-системи та поведінкову аналітику, щоб вчасно виявляти спроби захоплення акаунтів і шахрайські операції на основі викрадених даних.
Подія з витоком даних Coinbase через TaskUs стала черговим нагадуванням: навіть найсучасніші технології шифрування та захисту периметра втрачають ефективність, якщо не вибудувані процеси контролю доступу, управління підрядниками та протидії інсайдерській загрозі. Криптобіржам і фінтех-компаніям варто регулярно переглядати політики безпеки, інвестувати в моніторинг і реагування на інциденти, а також системно навчати як співробітників, так і клієнтів. Чим раніше виявлена аномалія, тим нижчі шанси на масштабний витік та довгострокові наслідки кіберзлочинів.
