Coinbase, sàn giao dịch tiền điện tử lớn nhất tại Mỹ theo chỉ số khối lượng giao dịch, đang đối mặt với sự phản đối dữ dội sau khi có báo cáo vào thứ Năm cho biết một nhân viên bất lương đã rò rỉ dữ liệu khách hàng nhạy cảm.
Người dùng đã nổi giận sau khi có thông tin cho rằng rủi ro này đã được biết đến từ nhiều tháng trước khi công ty công bố sự cố.
Người dùng phẫn nộ vì rò rỉ dữ liệu xảy ra nhiều tháng trước khi được công bố
Vụ vi phạm nội bộ, được cho là ảnh hưởng đến “dưới 1%” số người dùng hoạt động hàng tháng của Coinbase, đã gây ra sự phẫn nộ rộng rãi trong cộng đồng tiền điện tử. Người dùng báo cáo bị nhắm mục tiêu trong các vụ lừa đảo phishing và giả mạo tinh vi.
Trong số đó có QwQiao, một nạn nhân bị nhắm mục tiêu, người kể lại sự chính xác đáng sợ của vụ lừa đảo. QwQiao, làm việc trong bộ phận hỗ trợ khách hàng tại Alliance DAO, cho biết anh suýt trở thành nạn nhân nhưng đã thông minh hơn những kẻ xấu.
“…Tôi đã gọi họ ra vào cuối cuộc gọi và nói rằng họ cần nâng cao trò chơi của mình vì vụ lừa đảo này thật ngớ ngẩn. Họ nói với tôi rằng họ đã kiếm được 7 triệu USD trong ngày hôm đó,” anh nói.
Adam Cochran, một nhân vật nổi tiếng trên X (Twitter), đã lên án việc Coinbase không bảo vệ dữ liệu như ID chính phủ và địa chỉ thực. Ông cho rằng thiếu sót này gây ra rủi ro vượt xa mất mát tài chính.
“Việc công bố của Coinbase tập trung vào số tiền bị đánh cắp, nhưng điều đó không liên quan… Không có yếu tố nào trong chính sách KYC/AML yêu cầu những thứ này phải được truy cập bởi nhân viên hỗ trợ khách hàng. Tôi không muốn nghe về việc Coinbase đang làm gì để thu hồi tiền – tôi muốn biết họ đang làm gì để xử lý tốt hơn dữ liệu cá nhân,” ông bày tỏ.
Sự phẫn nộ diễn ra giữa cáo buộc rằng vụ vi phạm đã xảy ra từ tháng 01. Người dùng và các nhà phân tích cho rằng sự im lặng của Coinbase đã để người dùng dễ bị tổn thương trong nhiều tháng.
“Coinbase biết rằng dữ liệu người dùng của họ đã bị đánh cắp từ tháng 01, nhưng không nói gì cho đến bây giờ? Chúng tôi đã nhận được vô số báo cáo về việc người dùng Coinbase bị rút cạn bởi những kẻ giả mạo. Bây giờ chúng ta biết lý do,” viết Duo Nine, một nhà phân tích nổi tiếng.
Theo Duo Nine, sự giám sát của Coinbase được cho là đặt cả các khoản đầu tư tổ chức vào rủi ro tập trung. Coinbase đóng vai trò chi phối trong thị trường ETF (quỹ giao dịch trao đổi) tiền điện tử giao ngay. Cụ thể, nó cung cấp dịch vụ lưu ký cho tám trong số 11 Bitcoin ETF và tám trong số chín Ethereum ETF.
Coinbase cũng cung cấp dịch vụ thực hiện giao dịch và giám sát thị trường. Đáng chú ý, đây không phải là lần đầu tiên sự thống trị của nó trong dịch vụ lưu ký dẫn đến lo ngại về vị trí của nó như một điểm thất bại tiềm năng duy nhất.
“Không tốt chút nào khi gần như tất cả các nhà phát hành ETF tiền điện tử đều có cùng một đơn vị lưu ký cho tất cả BTC và ETH của họ. Điều này khiến Coinbase trở thành một điểm thất bại tiềm năng duy nhất, và điều đó thật đáng sợ,” Eleanor Terret nói gần đây.
Coinbase chưa phản hồi ngay lập tức yêu cầu bình luận của BeInCrypto.
Rủi ro của vụ rò rỉ là không thể đoán trước và nguy hiểm
Trong khi đó, lo ngại nảy sinh rằng vụ vi phạm này đặc biệt đáng lo ngại vì Coinbase không bị hack. Thay vào đó, nó bị phản bội từ bên trong. Một nhân viên hỗ trợ đã truy cập và bán dữ liệu khách hàng trên thị trường chợ đen.
Đối với một số người, điều này thể hiện sự thất bại rõ ràng của các kiểm soát nội bộ. Bob Loukas, một nhà giao dịch vị thế, đã nói thẳng thắn, chỉ trích sàn giao dịch vì thiếu sự công bố thích hợp.
“Bạn biết rằng bạn đang nắm giữ dữ liệu được săn lùng nhiều nhất, và bạn đã cho phép nhân viên hỗ trợ truy cập hàng loạt. Điều đó không thể chấp nhận được,” Loukas nói.
Những tác động vượt ra ngoài việc trộm cắp tài chính, với người sáng lập Rotki, Lefteris Karapetsas, cảnh báo rằng việc tập trung dữ liệu danh tính thực tế cùng với số dư tiền điện tử là một “thảm họa đang chờ xảy ra.”
“Coinbase vừa chứng minh một lần nữa tại sao các kho dữ liệu tập trung là một thảm họa đang chờ xảy ra. KYC có nghĩa là giao nộp danh tính của bạn để bị rò rỉ, bán hoặc tống tiền. Sự kết hợp dữ liệu bị lộ ở đây (địa chỉ thực tế, địa chỉ tiền điện tử, số lượng và tài liệu ID thực tế) là chết người,” ông đăng.
Rotki là một ứng dụng theo dõi danh mục đầu tư, với Karapetsas, một chuyên gia bảo vệ dữ liệu, tham chiếu đến một âm mưu bắt cóc gần đây liên quan đến gia đình của một lãnh đạo tiền điện tử ở Paris. Ariel Givner, một luật sư doanh nghiệp chuyên về fintech, xác nhận những lo ngại thực tế.
“Hôm nay tôi đã nhận được năm cá nhân liên hệ với tôi. Họ lo sợ cho sự an toàn của họ và gia đình họ. Nó có thể tồi tệ hơn,” cô viết.
Các chuyên gia tình báo cho biết sự cố này có thể là một phần của một vụ mua bán trên dark web lớn hơn. Theo các nguồn tin an ninh mạng, một tác nhân đe dọa gần đây đã rao bán một kho dữ liệu gồm 18 triệu bản ghi từ các nền tảng tiền điện tử của Mỹ.
Trong số đó, có hơn 432,000 bản ghi người dùng Coinbase được rao bán với giá 10,000 USD, bao gồm tên, email, số điện thoại, địa chỉ và nhiều thông tin khác.
Coinbase vẫn chưa phản hồi sự phẫn nộ của người dùng, nhưng đang cung cấp một quỹ thưởng 20 triệu USD cho thông tin dẫn đến việc bắt giữ và kết án các tác nhân xấu. Sàn giao dịch cho biết đã liên hệ với tất cả các nạn nhân bị ảnh hưởng.
“Nếu dữ liệu của bạn đã bị truy cập, bạn đã nhận được email từ [email protected]; tất cả thông báo đã được gửi đi lúc 7:20 sáng ET đến các khách hàng bị ảnh hưởng,” Coinbase Support cho biết trên X
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
