發生什麼事?
- Coinbase遭遇駭客攻擊,自今年一月起持續洩露客戶敏感數據。這些被竊取的個人資訊包括姓名、地址、身份證號碼和銀行資料等,可能被用於進一步的詐騙行為。
- 美國證券交易委員會(SEC)正在調查Coinbase過去在用戶數量報告上是否存在誇大問題,特別是其曾聲稱的「已驗證用戶」數量。Coinbase雖解釋這是前任政府未完的調查,且已停止報告該指標並改用「每月交易用戶數」,但仍需配合監管機構的調查。
- 這些事件發生在Coinbase剛被納入標普500指數,這兩大危機共同衝擊了Coinbase作為美國加密貨幣產業領導者的聲譽,也凸顯了整個加密貨幣領域在安全和監管上面臨的嚴峻挑戰。
駭客入侵:來自內部的「社會工程」攻勢
就在Coinbase剛被納入標普500指數,象徵其數位資產主流化達到巔峰之際,加密貨幣領域的領頭羊Coinbase近日面臨雙重挑戰:一場預計損失高達4億美元的駭客事件,以及美國證券交易委員會(SEC)對其過往用戶數據報告的調查。這些消息導致Coinbase的股價下挫逾7%,對這家在美國加密貨幣產業中極具影響力,並致力於推動數位資產主流化的公司而言,無疑是個沉重打擊。
這起駭客事件的獨特之處在於其手法。不同於常見的技術漏洞,駭客是透過「社會工程」 (Social Engineering)手法,賄賂了Coinbase位於印度的客服代表,從今年一月起持續獲取客戶的敏感資訊。
「社會工程」 (Social Engineering) 是一種利用人類心理弱點,而非技術漏洞來進行的攻擊手段。簡單來說,它是一種欺騙和操縱的藝術,駭客或攻擊者透過偽裝、誘騙、恐嚇或施加壓力等非技術性手段,來操縱受害者,使其自願地洩露敏感資訊(例如密碼、銀行帳戶資料),或者執行某些不利於自身安全的操作(例如點擊惡意連結、下載病毒程式、轉帳等)。
儘管Coinbase資安長菲利普.馬丁(Philip Martin)表示,公司在發現異常後已即刻終止了相關代理的權限並將其解雇,強調駭客並沒有持續性存取數據,但根據外媒報導,有知情人士指出,駭客直到週三仍能接觸到這些資料。
駭客取得的數據範圍相當廣泛,包括客戶的姓名、出生日期、地址、國籍、政府核發的身份證件號碼、部分銀行資訊,以及開戶時間和帳戶餘額等。這些高度敏感的個人資料,可能被不法份子用於冒充Coinbase或受害者本人,進而嘗試取得其他金融帳戶的控制權。駭客甚至膽大包天地向Coinbase勒索2000萬美元,要求刪除這些竊取的數據。
面對勒索,Coinbase選擇不支付,反而祭出了2000萬美元的懸賞金,鼓勵任何能協助逮捕和定罪這些攻擊者的資訊。公司也強調,受影響的用戶數不到其每月交易用戶的1%,並承諾將全額賠償因此次事件蒙受損失的用戶。
然而,對於擁有高額資產的交易者而言,此次事件不僅是潛在的財務損失,更因近期加密貨幣圈發生的綁架等惡性事件,引發了對人身安全的深切擔憂。
SEC調查:用戶數據報告的透明度之戰
除了駭客事件,Coinbase也證實美國證券交易委員會(SEC)正在調查其過去是否在用戶數據報告上存在誇大問題。
據《CNBC》報導,其實早在拜登政府時期就已經有在著手調查,主要聚焦於Coinbase過去在其證券備案文件和行銷資料中,官方所聲稱的「已驗證用戶」數量,而這數字曾一度超過1億。
對此,Coinbase法務長保羅.格魯瓦爾(Paul Grewal)解釋,這項調查是「前政府對他們兩年半前就已停止報告的一項指標的延期調查」。
他強調,公司曾公開解釋「已驗證用戶」包括任何通過電子郵件或電話號碼驗證的用戶,因此可能誇大了實際的獨立客戶數量。格魯瓦爾表示,公司此後已改為報告「每月交易用戶數」(MTUs),這是一個更具相關性的指標,並持續報告至今。
儘管如此,Coinbase仍承諾將繼續與SEC合作,以期解決此事。
