Coinbase Binabatikos Dahil sa Insider Leak na Insidente

Ang Coinbase, ang pinakamalaking crypto exchange sa US base sa trading volume, ay humaharap sa matinding kritisismo matapos lumabas ang balita na may empleyado silang nag-leak ng sensitibong customer data.

Galit na galit ang mga user matapos malaman na matagal nang alam ng kumpanya ang risk bago pa nila isiwalat ang insidente.

Galit ang Users Dahil Matagal Nang Nangyari ang Data Leak Bago Inamin

Ang insider breach na ito, na apektado ang “mas mababa sa 1%” ng monthly active users ng Coinbase, ay nagdulot ng matinding galit sa crypto community. Maraming user ang nagrereport na sila ay target ng mga sophisticated phishing at impersonation scams.

Kabilang dito si QwQiao, isang biktima na nagkwento kung gaano katindi ang precision ng scam. Si QwQiao, na nagtatrabaho sa customer support ng Alliance DAO, ay muntik nang mabiktima pero na-outsmart niya ang mga scammer.

“…Sinabihan ko sila sa dulo ng tawag na kailangan nilang pagbutihin ang kanilang laro dahil ang scam na ito ay sablay. Sinabi nila sa akin na kumita sila ng $7 million noong araw na yun,” ayon sa kanyang pahayag.

Si Adam Cochran, isang kilalang figure sa X (Twitter), ay kinondena ang pagkukulang ng Coinbase na protektahan ang data tulad ng government IDs at physical addresses. Sabi niya, ang pagkukulang na ito ay nagdadala ng risk na mas malala pa sa financial loss.

“Ang disclosure ng Coinbase dito ay nakatuon sa mga ninakaw na pondo, pero hindi ito ang mahalaga…Walang elemento ng KYC/AML policy na nangangailangan ng ganitong uri ng impormasyon na ma-access ng mga customer support agents. Hindi ko gustong marinig kung ano ang ginagawa ng Coinbase para mabawi ang pondo – gusto kong marinig kung ano ang ginagawa nila para mas mapabuti ang paghawak sa private data,” ayon sa kanyang pahayag.

Ang galit ay lumalabas kasabay ng mga alegasyon na ang breach ay nangyari pa noong Enero. Sinasabi ng mga user at analyst na ang katahimikan ng Coinbase ay nag-iwan sa mga user na vulnerable sa loob ng ilang buwan.

“Alam ng Coinbase na ninakaw ang user data nila mula pa noong Enero, pero wala silang sinabi hanggang ngayon? Marami na kaming natanggap na ulat ng mga user ng Coinbase na nauubusan ng pondo dahil sa mga impostor. Ngayon alam na natin kung bakit,” ayon sa sinulat ni Duo Nine, isang kilalang analyst.

Ayon kay Duo Nine, ang pagkukulang ng Coinbase ay naglalagay ng risk kahit sa mga institutional holdings. Mahalaga ang papel ng Coinbase sa crypto spot ETF market. Nagbibigay ito ng custody services para sa walo sa 11 Bitcoin ETFs at walo sa siyam na Ethereum ETFs.

Ang Coinbase exchange ay nag-aalok din ng trading execution at market surveillance services. Kapansin-pansin, hindi ito ang unang beses na ang dominance nito sa custody services ay nagdulot ng alalahanin tungkol sa posisyon nito bilang isang potential single point of failure.

“Hindi maganda na halos lahat ng crypto ETF issuers ay may parehong custodian para sa lahat ng kanilang BTC at ETH. Ginagawa nitong potential single point of failure ang Coinbase, at nakakatakot iyon,” ayon kay Eleanor Terret sa kanyang pahayag kamakailan.

Hindi agad nagbigay ng komento ang Coinbase sa request ng BeInCrypto.

Delikado at ‘Di Mapredict ang Mga Panganib ng Pag-leak

Samantala, lumalabas ang mga alalahanin na ang breach na ito ay kakaiba dahil hindi na-hack ang Coinbase. Sa halip, ito ay pinagtaksilan mula sa loob. Isang support employee ang nag-access at nagbenta ng customer data sa black market.

Para sa ilan, ito ay nagpapakita ng malaking pagkukulang sa internal controls. Si Bob Loukas, isang position trader, ay nagsalita ng direkta, tinawag ang exchange dahil sa kakulangan ng tamang disclosure.

“Alam mong hawak mo ang pinaka-hinahanap na data, at pinayagan mong ma-access ito ng mga support agents ng maramihan. Hindi katanggap-tanggap iyon,” ayon kay Loukas sa kanyang pahayag.

Ang mga implikasyon ay lampas pa sa financial theft, kung saan binalaan ni Rotki founder Lefteris Karapetsas na ang pag-centralize ng real-life identity data kasama ng crypto balances ay isang “disaster waiting to happen.”

“Muling pinatunayan ng Coinbase kung bakit ang centralized data honeypots ay isang disaster waiting to happen. Ang KYC ay nangangahulugang ibinibigay mo ang iyong identity para ma-leak, maibenta, o ma-extort. Ang kombinasyon ng data na na-expose dito (real-life addresses, crypto addresses, at amount at real-life ID documents) ay delikado,” ayon sa kanyang post.

Ang Rotki ay isang portfolio tracking app, at si Karapetsas, isang data protection expert, ay nag-refer sa isang kamakailang tangkang pagdukot na kinasasangkutan ng pamilya ng isang Paris crypto leader. Kinumpirma ni Ariel Givner, isang corporate attorney na dalubhasa sa fintech, ang mga takot sa totoong mundo.

“May limang indibidwal na nakipag-ugnayan sa akin ngayon. Natatakot sila para sa kanilang kaligtasan at ng kanilang pamilya. Pwedeng lumala pa ito,” ayon sa sinulat niya.

Sinasabi ng mga intelligence expert na posibleng parte ito ng mas malaking bentahan sa dark web. Ayon sa mga cybersecurity source, may nag-alok kamakailan ng 18 milyong record mula sa mga US crypto platform.

Kabilang dito ang mahigit 432,000 na user records ng Coinbase na binebenta sa halagang $10,000, kasama ang mga pangalan, email, numero ng telepono, address, at iba pa.

Hindi pa naglalabas ng pahayag ang Coinbase tungkol sa galit ng mga user, pero nag-aalok ito ng $20 million reward fund para sa impormasyon na makakatulong sa pag-aresto at pagkondena ng mga salarin. Sinabi ng exchange na nakipag-ugnayan na ito sa lahat ng apektadong biktima.

“Kung na-access ang data mo, nakatanggap ka na ng email mula sa [email protected]; lahat ng notification ay naipadala na noong 7:20 a.m. ET sa mga apektadong customer,” sabi ng Coinbase Support sa X