पिछले हफ्ते के क्रिप्टोक्यूरेंसी एक्सचेंज कॉइनबेस (कॉइन) के अत्यधिक संगठित उल्लंघन ने उत्तरों की तुलना में अधिक प्रश्नों को पीछे छोड़ दिया।

जबकि कुछ ने कॉइनबेस की प्रतिक्रिया के रूप में कहा “वास्तव में महान उदाहरण” एक संकट से निपटने में, ब्रीच ने अब संभावित रूप से बड़े पैमाने पर गोपनीयता मुद्दा पैदा कर दिया है जो दर्पण करता है बहीखाता डेटा उल्लंघन 2021 में – जिसके कारण एक स्पेट हुआ वास्तविक दुनिया की डकैती चूंकि अपराधियों को क्रिप्टो धारकों के नाम और पते पर पकड़ बनाने में सक्षम थे। कॉइनबेस ने पहले ही स्वीकार कर लिया है कि इसके ग्राहक अपने उल्लंघन के परिणामस्वरूप आधे अरब अमेरिकी डॉलर के करीब खो सकते हैं।

साइबर अपराधी एक्सेस किया गया कॉइनबेस उपयोगकर्ता डेटा Coindesk से बात करने वाले कई विशेषज्ञों के अनुसार, Coinbase को रिश्वत देने और समझाने से कर्मचारियों को उस डेटा को साझा करने के लिए समर्थन दिया गया था, लेकिन यह पूरी तरह से रोका जा सकता था।

ब्लॉकचेन सिक्योरिटी फर्म ब्लॉकसेक के सह-संस्थापक एंडी झोउ ने कहा, “एक विफल प्रणाली तकनीकी रूप से डेटा चोरी करना असंभव बना देगी, लेकिन कॉइनबेस ने स्पष्ट रूप से इन उपायों को प्राथमिकता नहीं दी, जिससे दरवाजा खुला हो गया।”

इन अपराधियों को व्यक्तिगत डेटा तक पहुंचने की अनुमति देना, चाहे वह हैक के माध्यम से या, इस मामले में, सोशल इंजीनियरिंग, एक एक्सचेंज पर एक प्रमुख धब्बा है जो हर दिन अरबों डॉलर की मात्रा की मात्रा की सुविधा देता है। उल्लंघन ने मुद्दों का एक असंख्य बनाया, उपयोगकर्ता गोपनीयता और विश्वास सहित। एक सार्वजनिक रूप से कारोबार करने वाली कंपनी कॉइनबेस, हमलावरों को सामने के दरवाजे के माध्यम से व्यक्तिगत जानकारी और धन चोरी करने की अनुमति कैसे दे सकती है? और क्या इसे रोका जा सकता था?

हैकेट कम्युनिकेशंस के सीईओ हीथर डेल ने कॉइनबेस की प्रतिक्रिया को “संचार में मास्टरक्लास” के रूप में देखा, लेकिन कॉइनबेस की मुद्दों से निपटने की विधि सरल थी: जितना संभव हो उतना पैसा फेंक दें।

एक्सचेंज की पेशकश की $ 20 मिलियन बग बाउंटी किसी के लिए जिसने जानकारी की सूचना दी जो गिरफ्तारी या अभियोजन की ओर ले जाएगी। यह स्वेच्छा से $ 180 मिलियन से $ 400 मिलियन के साथ प्रभावित उपयोगकर्ताओं को स्वेच्छा से प्रतिपूर्ति करने के लिए प्रतिबद्ध है।

क्या हुआ?

ब्रीच के पतन का विश्लेषण करने से पहले, यह समझना महत्वपूर्ण है कि सार्वजनिक रूप से कारोबार करने वाली कंपनी में ब्रीच कैसे हुआ, जो सुरक्षा बुनियादी ढांचे पर प्रति माह लाखों डॉलर खर्च करता है।

फरवरी में, ऑन-चेन स्लीथ Zachxbt चोरी में वृद्धि की सूचना दी कॉइनबेस उपयोगकर्ताओं को शामिल करना। उन्होंने कहा कि यह “आक्रामक जोखिम मॉडल और कॉइनबेस की विफलता का परिणाम था जो अपने उपयोगकर्ताओं को सोशल इंजीनियरिंग घोटालों के लिए प्रति वर्ष $ 300 (मिलियन) खोने से रोकने में विफलता है।”

सैकड़ों करोड़ों डॉलर की चोरी करने वाले साइबर क्रिमिनल का डर पिछले हफ्ते एक वास्तविकता बन गया जब कॉइनबेस ने एक ब्लॉग पोस्ट प्रकाशित किया जिसमें पता चला कि खाता संतुलन, सरकारी आईडी चित्र, फोन नंबर, पते और नकाबपोश बैंक खाते के विवरण चोरी हो गए।

अन्य हैक और उल्लंघनों के विपरीत, जिसमें एक दोषपूर्ण बैक-एंड का शोषण करने वाले हमलावर शामिल हैं, ये हमलावर सामने के दरवाजे के माध्यम से चले गए थे-सीधे कॉइनबेस कर्मचारियों के साथ संवाद करने और दुष्ट अंदरूनी सूत्रों के माध्यम से जानकारी तक पहुंच खरीदने के लिए। कॉइनबेस ने दावा किया कि इसने मौके पर सभी जिम्मेदार कर्मचारियों को निकाल दिया, हालांकि यह उस विधि को प्रकट नहीं करता था जो इसे जिम्मेदार लोगों को खोजने के लिए उपयोग किया जाता था ब्लॉग भेजा।

हालाँकि, मुद्दा है क्रिप्टो तक सीमित नहीं है। 2022 में, डिजिटल बैंक विद्रोह ने पुष्टि की कि ग्राहक के 50,000 सेट डेटा चोरी हो गया था, जबकि एक साल बाद, ट्रेडिंग प्लेटफॉर्म रॉबिनहुड तक था 5 मिलियन ईमेल पते लीक हुए। उत्तरार्द्ध था एसईसी द्वारा $ 45 मिलियन का जुर्माना लगाया गया ब्रीच के बाद यह सामने आया कि ग्राहकों का एक हिस्सा उनके पास था हमलावरों द्वारा पोंछे खाते।

बीबीसी सूचित अक्टूबर में कि एक विशेष विद्रोह उपयोगकर्ता ने डेटा ब्रीच के बाद £ 165,000 ($ 220,0000) खो दिया और Neobank की धोखाधड़ी का पता लगाने की प्रणाली ने 2023 में धोखाधड़ी के लेनदेन में £ 475 मिलियन को रोका।

कॉइनबेस प्रतियोगी बिनेंस और क्रैकन ने कहा कि वे बंद करने में कामयाब रहे हाल के हफ्तों में इसी तरह के सोशल इंजीनियरिंग हमले।

कॉइनबेस के सीईओ ब्रायन आर्मस्ट्रांग ने पिछले हफ्ते एक्स पर एक वीडियो भी पोस्ट किया था, जिसमें कहा गया था कि उन्हें इन हमलावरों के बदले में बिटकॉइन में $ 20 मिलियन के लिए “फिरौती नोट” मिला था, जो कुछ जानकारी जारी नहीं कर रहे थे, जो उन्होंने कॉइनबेस ग्राहकों पर प्राप्त करने का दावा किया था।

Zachxbt जोड़ा गुरुवार को कि हमलावरों ने एक स्थल थोरचेन पर ईटीएच के लिए बीटीसी की अदला -बदली करके चोरी के फंडों को चोरी के फंडों को रोकना शुरू कर दिया अक्सर कुख्यात उत्तर कोरियाई हैकर्स द्वारा उपयोग किया जाता है लाजर समूह।

‘मेजर वेक-अप कॉल’

ब्लॉकचेन सिक्योरिटी फर्म ब्लॉकसेक के सह-संस्थापक एंडी झोउ ने Coindesk को बताया कि Coinbase को “संवेदनशील डेटा को संभालने वाले कर्मचारियों पर सख्त पृष्ठभूमि की जाँच” करनी चाहिए और “अजीब गतिविधि के लिए अलार्म” सेट करना चाहिए, जैसे किसी ने अचानक हजारों ग्राहक प्रोफाइल डाउनलोड किया।

झोउ ने कहा कि कॉइनबेस को कई तकनीकी समाधानों को लागू करना चाहिए था। इनमें सख्त भूमिका-आधारित पहुंच शामिल है, जिसका अर्थ है कि कर्मचारी केवल आवश्यक डेटा, या गोपनीयता उपकरण देखते हैं जो कच्चे विवरण को उजागर किए बिना काम की अनुमति देते हैं (उदाहरण के लिए, आईडी फ़ोटो को धुंधला करना)।

स्विमलेन में लीड सिक्योरिटी ऑटोमेशन आर्किटेक्ट निक टॉस्क ने कोइंडस्क को बताया कि ब्रीच को मजबूत अंदरूनी सूत्र खतरे का पता लगाने के लिए “प्रमुख वेक-अप कॉल” होना चाहिए।

“जैसा कि आउटसोर्सिंग स्केल और ऑपरेशन टाइम ज़ोन के साथ खिंचाव करते हैं, इनसाइडर थ्रेट डिटेक्शन और एक्सेस गवर्नेंस के बाद नहीं किया जा सकता है। सही पहुंच के साथ एक एकल अंदरूनी सूत्र, या इस मामले में, गलत प्रोत्साहन, सबसे गढ़गली सुरक्षा मुद्रा में भी एक छेद को पंच कर सकता है। क्योंकि यह उल्लंघन दिखाता है, यह केवल 1% ग्राहकों को 100% बनाने के लिए उल्लंघन करता है।”

हालांकि, हर कोई कॉइनबेस पर जमा नहीं हो रहा है।

मैटरफी के सीईओ मिशल पोस्पिज़ज़ालक ने कहा कि यह “एक कॉइनबेस समस्या नहीं है, यह एक प्रणालीगत भेद्यता है जो पहले दिन से क्रिप्टो से ग्रस्त है।”

उन्होंने तर्क दिया कि एक मध्यस्थ के बिना क्रिप्टो भेजने की प्रकृति का मतलब है कि सभी प्लेटफ़ॉर्म आपदा से एक गलत हैं।

हैकर्स को एक ऐसी स्थिति को इंजीनियर करने की आवश्यकता है जो उपयोगकर्ताओं को एक अपरिवर्तनीय लेनदेन में अपने धन को भेजने में चकमा दे सकती है। कॉइनबेस के मामले में, हमलावरों ने एक दुष्ट कर्मचारी से व्यक्तिगत रूप से पहचान योग्य जानकारी तक पहुंच प्राप्त की।

Pospieszalsk के अनुसार, रूट मुद्दा, उपयोगकर्ताओं की समस्या नहीं है कि क्या वे सही प्राप्तकर्ता को धन भेज रहे हैं, यह जोड़ते हुए कि क्रिप्टो पहचान सत्यापन के “विश्वास मुझ पर विश्वास करें, भाई” मॉडल पर चलता है और यह टिकाऊ नहीं है।

आगे क्या होता है?

कॉइनबेस ने कहा कि यह स्वेच्छा से उन ग्राहकों की प्रतिपूर्ति करेगा, जिन्होंने उल्लंघन के दौरान धन खो दिया है और उन जिम्मेदार लोगों को पकड़ने के लिए कानून प्रवर्तन के साथ काम करना जारी रखेगा। लेकिन उपयोगकर्ताओं के लिए, यह एक गहरी सड़क है।

एक्सचेंज में कहा गया नियामक दाखिल बुधवार को कि ब्रीच ने 69,461 ग्राहकों को प्रभावित किया। फाइलिंग ने यह भी उल्लेख किया कि ब्रीच दिसंबर 2024 में हुआ था और 15 मई तक कॉइनबेस द्वारा खोजा नहीं गया था।

ये विवरण अब इंटरनेट पर हैं, और यहां तक ​​कि डार्क वेब और छायादार टेलीग्राम समूहों में बिक्री के लिए भी हो सकते हैं। लेजर ब्रीच के बाद, ग्राहक विवरण थे Raidforums पर प्रकाशितएक नापाक डेटा-साझाकरण मंच, जिसके कारण फ़िशिंग प्रयासों में वृद्धि हुई।

दुर्भाग्य से, कॉइनबेस इस लीक हुई जानकारी के बंटवारे को रोकने के लिए कुछ भी नहीं कर सकता है, जिससे प्रभावित उपयोगकर्ताओं को अधिक से अधिक सुरक्षा उपायों में डालने का प्रयास करने के लिए छोड़ दिया जाता है। इनमें वॉलेट बदलना, एक्सचेंजों पर जमा पते बदलना और यहां तक ​​कि वास्तविक दुनिया की डकैतियों के जोखिम से बचने के लिए घर के पते बदलना शामिल है। जिन उपयोगकर्ताओं को सामाजिक सुरक्षा संख्या लीक हुई थी, उन्हें पहचान की चोरी को रोकने के लिए अपना क्रेडिट भी बंद करना चाहिए।

यह बोझिल हो सकता है, लेकिन जैसा कि इस साल की शुरुआत में देखा गया था लेजर के सह-संस्थापक डेविड बैलैंड का अपहरण (और पिछले कुछ हफ्तों में कई अन्य व्यक्ति), अपराधी तब तक नहीं रुकेंगे जब तक कि वे अधिकतम राशि नहीं निकालते, भले ही इसका मतलब है कि हिंसा के क्रूर कृत्यों को भड़काना।

यह एक संभावित कानूनी सवाल भी उठाता है: यदि एक कॉइनबेस ग्राहक को डेटा ब्रीच के कारण लूट लिया जाना था या हमला किया जाना था, तो क्या कॉइनबेस उत्तरदायी होगा? लेजर इस साल की शुरुआत में एक प्रस्तावित क्लास एक्शन मुकदमे से बचने में विफल रहा, जिसमें वादी ने आरोप लगाया कि लेजर ने अपनी गोपनीयता नीति का उल्लंघन किया था और ब्रीच को रोकने के लिए उपाय किए जाने चाहिए थे।

क्रिप्टो के शोधकर्ता मौली व्हाइट ने यह भी बताया कि कॉइनबेस ने अप्रैल में अपने उपयोगकर्ता समझौते को बदल दिया, जिसमें क्लास एक्शन मुकदमों को सीमित करने और न्यूयॉर्क में दायर किए जाने वाले मुकदमों की आवश्यकता होती है, जिसमें 15 मई को परिवर्तनों को लागू किया जाता है, उसी दिन ब्रीच की घोषणा की गई थी।

कॉइनबेस ने व्हाइट के दावों के बारे में Coindesk को जवाब दिया, जिसमें कहा गया था कि एक्सचेंज ने “अधिसूचित ग्राहकों को” अधिसूचित किया था पहले से ही“उपयोगकर्ता समझौते में बदलाव और यह कि” वर्षों “के लिए एक वर्ग एक्शन छूट थी।

हालांकि, कॉइनबेस ने इस बात से संबंधित सवालों पर टिप्पणी नहीं की कि क्या उल्लंघन रोका जा सकता है या यह उन ग्राहकों की सुरक्षा कैसे करेगा जो भविष्य में वास्तविक दुनिया की डकैतियों के जोखिम में हो सकते हैं।

और पढ़ें: कॉइनबेस हैक के लिए बाजार की प्रतिक्रिया ‘ओवरब्लाउन’, विश्लेषकों का कहना है कि एसईसी जांच सिंक स्टॉक