Coinbase
Anfang Mai 2025 ging beim auf Kryptowährungen spezialisierten Finanzdienstleister Coinbase eine E-Mail von Cyberkriminellen ein. Wie dem zugehörigen Bericht an die US-Börsenaufsicht SEC zu entnehmen ist, behaupteten die Kriminellen, Kundendaten sowie interne Dokumente des Unternehmens erlangt zu haben. Sie drohten damit, diese im Netz zu veröffentlichen, falls das Unternehmen kein Lösegeld zahlt.
Wie sich im Nachgang herausstellte, hatten die Angreifer Mitarbeiter eines Dienstleisters von Coinbase in Indien bestochen, um an Zugangsdaten für die internen Systeme der weltweit größten Kryptobörse zu kommen. Für Philip Martin, Chief Security Officer von Coinbase, manifestierte sich damit eine neue Evolutionsstufe der Cyberkriminalität: “Bis zu diesem Zeitpunkt war mir kein anderer Fall bekannt, bei dem Bestechungsgelder in diesem Ausmaß eingesetzt wurden – sowohl was den langfristigen Fokus der Angreifer, als auch was die Höhe der Gelder angeht.”
Wir haben mit dem Coinbase-CSO die Details dieses Angriffs erörtert – und wie das Unternehmen darauf geantwortet hat.
Der Angriff auf Coinbase
Im Dezember 2024 begannen die Angreifer damit, Kundendienstmitarbeiter von Coinbase ins Visier zu nehmen, die beim Outsourcing-Dienstleister TaskUs in Indore, Indien tätig waren. Diesen boten sie für die Weitergabe von Daten Bestechungsgelder in Höhe von bis zu 2.500 Dollar pro Person an. Von dem so bewerkstelligten Datendiebstahl war circa ein Prozent der monatlich auf Coinbase aktiven Nutzer betroffen – konkret etwa 70.000. Die erbeuteten Informationen enthielten zwar keine privaten Keys, Account- und Wallet-Zugangsdaten, aber eine Reihe anderer, personenbezogener und interner Daten, die sich beispielsweise für Social Engineering nutzen ließen. Etwa:
Informationen zu Benutzerkonten wie Portfoliowert und Transaktionshistorie,
Kontaktinformationen wie E-Mail-Adressen und Telefonnummern,
maskierte Sozialversicherungsnummern und Bankdaten,
Identitätsnachweise in Form von Ausweisen und Führerscheinen, sowie
Schulungsmaterial für Kundendienstmitarbeiter und weitere, interne Dokumente.
In der Folge forderten die Cyberkriminellen von Coinbase ein Lösegeld in Höhe von 20 Millionen Dollar, um eine Veröffentlichung im Netz, respektive eine Offenlegung der Vorgänge zu verhindern. Darauf reagierte das Kryptounternehmen, indem es sich öffentlich weigerte, zu bezahlen und stattdessen im Gegenzug ein “Kopfgeld” in Höhe des geforderten Betrages auf die Kriminellen aussetzte.
Darüber hinaus versprach Coinbase betroffenen Kunden, die auf Social-Engineering-Attacken der Angreifer hereingefallen waren, vollumfänglich zu entschädigen – aus freien Stücken. In Kooperation mit Partnern flaggte der Zahlungsdienstleister zudem die Blockchain-Adressen der Angreifer, um die Strafverfolgungsbehörden bestmöglich dabei zu unterstützen, die Kriminellen aufzuspüren und gestohlene Assets wiederzubeschaffen. Die outgesourcten Innentäter bei TaskUs wurden entlassen und ihre Daten an die zuständigen Strafverfolgungsbehörden übermittelt. Inzwischen arbeitet Coinbase nicht mehr mit dem Dienstleister zusammen. Die Kosten für Abhilfemaßnahmen und Rückerstattungen schätzte die Kryptobörse in ihrer Meldung an die SEC auf 180 bis 400 Millionen Dollar.
Kryptogigant mit Vorbildfunktion
Unter Cybersecurity-Experten erntete die Reaktion von Coinbase auf den Vorfall großes Lob, insbesondere aufgrund:
der transparenten Kommunikation,
der schnellen Problembehebung, sowie
der Bereitschaft, betroffene Kunden zu entschädigen.
Das schreibt Chief Security Officer Martin einerseits dem allgemeinen Security-Niveau bei Coinbase, andererseits auch seinem Team von rund 300 Security-Experten zu: “Wir investieren viel Zeit und technische Ressourcen, um es Cyberkriminellen so schwer wie nur möglich zu machen, unsere Kunden zu bestehlen. Deshalb gibt es diverse Profis in unserer Organisation, die sich mit den Themen Architektur, Segmentierung und Zugriffskontrollen beschäftigen.”
Dass sich der Kryptogigant weigerte, das geforderte Lösegeld zu entrichten, sei dabei nicht nur eine Frage des Prinzips gewesen, wie Martin erläutert: “Natürlich war es auch eine prinzipielle Frage. Auf der anderen Seite ging es um die Daten unserer Kunden und wir sind verpflichtet, diese zu schützen. Es gab davon abgesehen keinen Grund für uns, den Beteuerungen der Kriminellen Glauben zu schenken, die Daten im Fall einer Zahlung nicht zu veröffentlichen.”
Jede Zahlung an Cyberkriminelle oder Ransomware-Akteure ermutige diese lediglich, ihr schadhaftes Treiben fortzuführen, so der Sicherheitsentscheider: “Lösegeld zu bezahlen, ist eine kurzsichtige Strategie. Damit finanziert man nur die nächste Attacke, sei es auf sich selbst oder andere.”
Allerdings räumt Martin ein, dass es – je nach Situation – auch sinnvoll sein kann, Lösegeldforderungen nachzukommen: “Geht es um Ransomware, steht man eventuell tatsächlich vor der Wahl, entweder zu bezahlen oder zu riskieren, dass das Unternehmen den Angriff nicht überlebt.”
Ein wichtiger Aspekt der Attacke auf Coinbase ist der Fakt, dass die Bestechungsaktion der Kriminellen darauf abzielte, an Daten zu gelangen, um Coinbase zu erpressen. Ansonsten ist es bei finanziell motivierten Angreifern eher üblich, Daten zu erbeuten, mit denen dann die Wallets von Kryptoinvestoren geplündert werden – etwa im Rahmen von SIM-Swapping-Kampagnen.
Mit Bestechungsversuchen von Mitarbeitern hatte Coinbase allerdings schon vor dem Vorfall Erfahrungen gemacht, wie der CSO preisgibt: “Bereits zuvor hatten Support-Techniker ihre autorisierten Zugänge dazu genutzt, Informationen von Coinbase-Kunden zu stehlen. Diese wurden anschließend von Cyberkriminellen für Social-Engineering-Angriffe missbraucht. Die Bestechungsgelder in diesen Fällen erreichten mit der Zeit immer neue Höhen.”
Deswegen habe Coinbase zunächst seine Kontrollmaßnahmen auf den Prüfstand gestellt und entsprechend aktualisiert: “Wir haben sichergestellt, nach jedem Vorfall ein Postmortem abzuhalten, bei dem wir unsere Erfahrungen und Learnings reflektiert, aufgearbeitet und so schnell wie möglich in unser Security-Programm integriert haben. Dann ereilte uns diese Lösegeldforderung.”
Dass Mitarbeitende von Cyberkriminellen bestochen werden, ist dabei nicht unbedingt eine neue Entwicklung – die Reaktion von Coinbase jedoch durchaus, meint Zach Edwards, Senior Threat Researcher beim Sicherheitsspezialisten Silent Push: “Kriminelle bestechen schon seit Jahren Kundendienstmitarbeiter, um ihre Angriffe durchführen zu können. Dass Coinbase zurückgeschlagen und ein Kopfgeld auf die Kriminellen ausgesetzt hat, ist jedoch Neuland – das ist in dieser Form bislang noch nicht geschehen.”
Bestechungsrisiken reduzieren
Im Rahmen seines Reports an die SEC erklärte Coinbase, dass es aufgrund des Vorfalls plane, ein neues Kunden-Support-Zentrum in den USA zu eröffnen. Ferner werde man weitere Maßnahmen ergreifen, um ähnliche Vorfälle künftig zu verhindern. Allerdings warnt Coinbase-CSO Martin davor, das Problem auf bestimmte Schwellenländer abzuwälzen: “Das wäre ein großer Fehler. Bestechungsversuche können überall auf der Welt zum Problem werden. Meiner Meinung nach hängt das in erster Linie mit der Personalauswahl zusammen. Es gab schließlich auch diverse Mitarbeiter in Indien, die nicht auf die Angebote der Kriminellen eingegangen sind.”
Das sieht auch Greg Linares, Principal Threat Intelligence Analyst beim Security-Anbieter Huntress, so: “Bedrohungsakteure nehmen auch Beschäftigte in Industrienationen ins Visier. Das Modell ist dabei ganz einfach: Wenn IT-Experten bei milliardenschweren Konzernen ein Jahresgehalt von 60.000 Dollar verdienen und ihnen das achtfache davon für 15 Minuten ‘Arbeit’ angeboten wird, ist das attraktiv. Ganz besonders, wenn die Aussicht besteht, eventuell unbemerkt damit durchzukommen.”
Angesichts der erheblichen Risiken, die mit solchen Bestechungsversuchen im Unternehmensumfeld verbunden sind, sollten Sicherheitsentscheider tätig werden. Silent-Push-Experte Edwards rät etwa dazu, das Thema explizit im Rahmen von Schulungsprogrammen zu behandeln und Red-Teaming-Übungen mit Beschäftigten abzuhalten, die mit Kundendaten arbeiten. “Kundensupport-Teams müssen nicht nur darüber Bescheid wissen, wie mit unbefugten Passwort-Reset-Versuchen umzugehen ist. Sie sollten auch Strategien an die Hand bekommen, um potenzielle Bestechungsversuche zu händeln.”
Coinbase-CSO Martin nimmt aus dem Erlebten als zentrales Learning mit, dass Cyberkriminelle – unabhängig vom Security-Niveau eines Unternehmens – regelmäßig alles versuchen, um einen Weg zu finden, sich dennoch unberechtigten Zugang zu verschaffen. Einhundertprozentige Sicherheit werde es deshalb auch künftig nicht geben, so der Sicherheitsentscheider. Er fügt hinzu: “Oder um es mit Mike Tyson zu sagen: Jeder hat einen Plan, bis er einen Schlag ins Gesicht bekommt.”
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
No Responses