Coinbaseスタッフ買収され顧客データ流出 ハッカーが2000万ドル要求!
引用元:https://news.ycombinator.com/item?id=43996307
SECへの直接リンクだよ:https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0…
Coinbaseのデータ流出犯か、それを買った奴らから定期的にフィッシング電話かかってくるんだ。不正取引の確認とか定番の手口でさ。
アメリカ訛りの完璧な英語で、めっちゃフレンドリーだし、口座残高まで知ってやがる。最初の電話で速攻詐欺だって気づいたのは幸いだったよ。Googleのコールスクリーニング機能がマジ助かる。
あー、Kitbogaに転送できたら最高なんだけどな。
たぶん、Coinbaseの顧客騙すのがうまくいかなかったから、今度はCoinbase本体から金取ろうとしてるんだろうね。
https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbaseにちょっとでも資産あったなら、この流出はフィッシングどころの騒ぎじゃないぞ。氏名、住所、残高、取引履歴、ID画像まで全部漏れたんだから。
資産いっぱい持ってる奴は、路上や家で襲われたり、家族が誘拐されたりしてる。”いっぱい”って言っても、1万ドルとかでもやばいらしい。
今までは身元隠すのが一番の防御策だったのに、Coinbaseのせいでそれもできなくなった。もう誰がいくら持ってたか、どこに住んでるか、家族構成まで全部バレバレ。身代金目的の誘拐に最高のターゲットってわけ。
Coinbaseは絶対、この損害全部は賠償できねえよ。会社潰れちゃうもん。
俺の一番の不満はそれだわ。電話番号がスパムかテレアポかって結構正確にフラグ立てられるのに、”未知の発信者を消音”設定だと、連絡先に入ってない番号全部が消音されちゃうんだよ。連絡先にない番号だけ消音したいのに。
例えば配管工が向かってるって電話くれた時とか、電話鳴ってほしいじゃん。そういうのが困る。
なんでこんなに仮想通貨って問題多いの?他の金持ちとか(20万ドルの車とか乗ってるじゃん)はここまでじゃないのに。
仮想通貨は現金化しやすいから”5ドルレンチ攻撃”が効くってこと?
”資産いっぱい持ってる奴が襲われる、1万ドル以下でもやばい”ってやつ、なんでか分かんないわ。
適当に一般人選んでも、普通預金にそれくらいか、もっと持ってる奴いるじゃん。良い地域選べば桁違いにもっと金持ってるし。
犯罪を勧めてるわけじゃないんだけど、ただ疑問なんだよね。
金持ちを誘拐して身代金をどうやって受け取る?現金だとリスク高いし、銀行振込とかも追跡されやすい。ジョン・グリシャムの小説とかArchierの無記名債券は別として、追跡不可能にするのはほぼ無理。でも仮想通貨なら、たぶんずっと面倒が少ないんだろうね。
あと、仮想通貨で大金持ちになった奴の中には、グレーな方法(証券詐欺とか)で稼いだ奴もいるから、警察沙汰にしたくないと思ってるかも。
仮想通貨業界全体が、ハッカーに金払って解決するのに慣れてるってのもあるし。
銀行口座から仮想通貨買って身代金にできるじゃん。それに誘拐なんて仮想通貨が流行る前から中南米では普通にあったことだよ。
フロリダのティーンがラスベガスの男性誘拐して、アリゾナの砂漠で4億円分の仮想通貨を奪った事件のニュース。これ見て:https://www.yahoo.com/news/florida-teens-kidnap-las-vegas-20…
なんでこれCoinbaseのせいだと思うの?他の会社は贈収賄とか脅迫に強い社員でもいるの?これUS GovernmentのKYC法がCoinbaseにID紐付けを強制したせいだよ。強制されるまで仮想通貨会社はIDいらなかったんだから。
会社はUSでもGDPR導入真剣に考えるべきだよ、顧客データの一括取得すごく難しくなったし、Government IDみたいなプライベート画像もディスクで暗号化されてたからね。正直セキュリティの甘さに驚きだよ、Yahoo!ではprodユーザーデータにアクセスできる人ほとんどいなかったのに。結局Coinbaseは信頼できないと思う、数百ドルのBTCそこから移しちゃおうかな
それなのに、Coinbaseはお咎めなしかよ。あの会社の誰か、誰か一人くらいは過失で刑務所行くべきだろ。
”彼らが引き起こした損害を全部弁償させられることはないだろう、本当のコストは会社を破産させるだろうから”だってさ。この手の話っていつも繰り返されるよね。抑止力になるか、一度会社潰れるまで賠償させてみるべきかもね。
Bitcoinは十分に分散されてるって。Coinbaseが扱ってるのはドルでしょ、そっちが分散されてない部分だって話ね。
トロントのcrypto CEOが100万ドル要求されて誘拐されたニュースもあるよ: https://www.cbc.ca/news/canada/toronto/kidnapping-toronto-bu…
えーっと、100万ドルくらいじゃ取引所側からしたら全然驚かないよ。銀行なら取引についていくつか質問してくるかもしれないけど、ありがたいことに、君がお金を使うのを止められることはかなり限られてるんだ。
親コメントは文字通りcryptoのカンファレンス主催者で、このコメントはcrypto企業の経営者だね。関連する他の記事では「cryptocurrencyインフルエンサー」の父親の話が出てる。Coinbaseの流出データを標的とした実際の犯罪が起きた証拠はあるの?それともただの雰囲気?
普通の人は普通預金口座に簡単に引き出せる1万ドルなんて置いてないよ。俺の直感だけど、誘拐の脅威は特定の国ではもっと深刻だよ。USではそれほどでもないかもね。
うん、でも銀行とか普通の金融システムは、口座振替に関してはもっとたくさんの安全策があるよ。少なくともそう見えるね。Crypto?それはワイルドだし、みんなワイルドだって思ってる。
つまり、99%の人にとってbitcoinが役立つ部分は、非中央集権的じゃない部分ってことだね。まるで盲腸みたい。
でもさ、少なくともcrypto取引所に個人情報を全部渡さなきゃいけないおかげで、俺たち四騎士(マネーロンダリング、ドラッグ、テロ、ポルノ)からは超守られてるわけだろ。
問題は、漏れたデータがアカウント復旧に使うデータみたいってことなんだよね。これマジやばくて、
1)自分のせいかCoinbaseのせいかでアカウント使えなくなったら、復旧が前みたいに簡単じゃなくなるかも。
2)ハッカーがこの漏れた情報でアカウントを”復旧”しようと試せる。
これマジ深刻な問題。Coinbaseに必要なのは、アカウント復旧とかできるIRLオフィスだよ。そこで金盗もうとする奴ら捕まえて起訴できる場所(海外の泥棒にはめちゃくちゃ大きな壁になる)。
唯一の解決策は:yubikeysみたいな物理二段階認証だね。
>Coinbaseにはアカウント復旧とかできるIRLオフィスが必要だよ。そこで金盗もうとする奴ら捕まえて起訴できる場所(海外の泥棒にはめちゃくちゃ大きな壁になる)。<
それただのBankじゃん。
Crypto好きが、昔社会がcurrencyとかcontrolsを開発する時にすでにtackledした問題にぶつかって、それで思いつくsolutionsがdirty fiat currencyが使ってるのと全く同じに見えるのを見るの、ここ数年マジ面白いわ。
The Crypto industry は global financial system が存在する理由を全部rediscovering するspeedrun を続けてるな。
あんたがdescribed したのは多くのCrypto enthusiasts が”Bank”って呼ぶものと一緒だよ。
これexchange の問題でしょ、crypto problem じゃないよ。crypto 持つだけならexchange いらないし。
Coinbase はcustomer funds をholds してるから bank とidentical だよ。あんたのコメントは思ってるほどthe dunk じゃないね。Blockchains なら bank なしで anonymously money をheld できる。Centralized exchanges はspeculation でprofiting してるだけだからprobably ban すべきだね。
でもさ、banks staff だってeasily be bribed too だし。plenty of bank fraud happening だよ。
But they need exchanges を使ってreal money をcryptocurrency にflow in and out easily させるんだよ。それなしだと、cryptocurrency by itself はlikely be worth far less than it is today だろうね。
うん、それは本当だけど、仮想通貨をそこに永久に置いとく必要はないよ。法定通貨を仮想通貨に変えたら、すぐに自分のプライベートウォレットに移しちゃえばいいんだ。
もっとコメントを表示(1)
いや、違うね。”Cryptocurrency”は全然お金じゃないよ。お金に換えられるからって、お金になるわけじゃない。俺だってBuffalo Exchangeに帽子を売ってお金にできるけど、俺の帽子はお金じゃないだろ。
これって、解決されてない取引所のハッキング問題を、解決されてない鍵の紛失や盗難問題に置き換えてるだけじゃん。
それ、見せてくれる? 消費者がお金を全然失って、銀行がその損失を負担しないってケースさ。
紙幣ができないことで、cryptoができることってなんかあるの?
その問題はバックアップで簡単に解決できるよ。
規制逃れとかcryptoのマーケティングじゃなくてさ、Coinbaseがなんで銀行じゃないのか説明してくれない?
誰かにZelleで送金してみて、お金を取り戻せるかやってみろよ。
例えば、バックアップだけじゃseed phraseのフィッシングは防げないでしょ。
KYCが増えると他の問題は解決するかもだけど、新たな問題も生まれる。KYC/AMLがあっても誘拐してcryptoを奪うみたいな犯罪はなくならないだろ?
強制KYCがなければ、こういう攻撃は意味なくなるはず。企業が政府に脅かされず現金みたいにcryptoを受け入れたら、中央集権の必要性も減るはずだよ。
P2P交換でトラブルになる人もいて、刑罰につながることも。代替手段としてのcrypto決済を守ることに誰も関心がないみたい。CBDCも近いし。
>Coinbaseには、アカウント復旧とかができるIRL(現実世界)のオフィスが必要だっていうけどさ、アカウントロックされた人(ユーザーに非がなくても起こりうる、例えば過敏なリスクシステムとかで)がアカウント取り戻すためにわざわざ別の街まで行かなきゃいけないってなったら、めっちゃ嬉しいだろうね…(皮肉)
銀行とか他のアカウントと比べてどうなの?フィッシングなんてどこにでもあるじゃん。うちのばあちゃん、郵便配達員やフードデリバリーのやつに現金で騙されたことあるよ。オンラインだけじゃなく、現実世界でも詐欺は普通にあるんだ。
銀行にある俺のお金は、自分で詐欺師に渡さない限り、詐欺の場合保護されるんだ。銀行が破産しても、俺のお金は政府に保護されてるしね。
俺が理解してる限り、問題の根本はCoinbaseがIDの写真みたいな機密情報をたくさん持ってたことだ。KYCとか無かったら影響は軽微だったはず。企業はデータ少なくして早く消すべき。これは仮想通貨に限らずGoogleとかAmazonとかも同じ。政府と資本家が不必要にデータ集めさせて問題作ってるんだよ。
2年前に俺が”ハッキング”された時、最後にやられたのがZellesで送金しまくられたことだったんだけど、結局損害なしで全部取り戻せたんだ。
俺にとって何がもっと重要かっていうと、どれだけ早く自分のハットを取引できるか、売るためにハットの市場価値をどれだけ早く判断できるか、売った価格と同じ価格でどれだけ近くハットを買えるか、その価格でハットをどれだけたくさん買ったり売ったりできるか?ってことなんだ。そして、それがハットが仮想通貨に全ての指標で劣る点であり、どう仮想通貨が俺の”お金”の基準を満たすかってことなんだ。
だからこそ、仮想通貨が普通の人のための普通の銀行を置き換えるなんて決してないだろうね。スキャムや盗難の状況は悪くなる一方だ。”Not your keys, not your coin”(秘密鍵持ってなきゃ、あんたのコインじゃない)だよ。
そう、仮想通貨熱狂者の弁護は知ってるよ。結局、システムの単一の側面だけを真空で見てて、仮想通貨を投機資産とか犯罪ツールとしてじゃなく、通貨として機能的に使いたいなら、これら全ての側面が実際に機能して、連携して機能する必要があるってことを理解してないんだ。
俺はこれをやるのがとても嬉しいね。いいじゃん、オプションにすればさ。俺は実際、NYCのオフィスに自分で行って許可しない限り、このお金は決してリリースしない、っていう種類のコールドストレージがあったら最高だと思うよ。
銀行のお金が詐欺で盗まれても(自分でZelleで送った場合以外)、戻ってくるじゃん。そこが大きな違いだよね。
銀行がいつも補償してくれるわけじゃなかった頃から変わったみたいだね。リンク貼っとくね。https://www.nytimes.com/2022/03/06/business/payments-fraud-z…
KYCなくても今回の攻撃は伝統金融ではあり得ない。クリプトは大金ウォレットが狙われやすい。取引パターンや業者情報で特定されるし、使う限り追跡されやすい。秘密鍵で所有権が決まるクリプトは、物理的な暴力で盗まれやすいリスクがある。XMRを使っても金持ちに見えただけで狙われる可能性も。Opsecは重要だけど難しいね。
自分が影響受けてるかCoinbaseのサポートに問い合わせてみたんだ。AIボットで時間無駄にして、やっと人に繋がったら、その人 breachを知らなかったみたい。私が最初に知らせたんだよ。
影響受けたアカウントにはメール送ってるらしいよ。情報元:私が影響受けたから。
どう言えばいいか分からないけど、Coinbaseにアカウント持ってたんだけど、認証できなかったんだ。メールと電話とIDスキャンとかだったかなー、覚えてないや。それ以来ずっと使ってなくて何も入れてないんだけど、1月から「アカウントが”compromised”されてる」って定期的に電話がかかってくるんだ。このleakはもっと前に起きてたんだろうね、だって誰かが私がそこにアカウント持ってて、しかも使ってるメールアドレスまで正確に知ってるなんてあり得ないもん。
Coinbaseが影響アカウントにメール送ったなんて信じないね。それに、この問題についてはずっと前から知ってたと思うよ。もっと早く必須の8k開示を求められるべきだったんだ。
メールのタイトル何だった?今朝7AM ESTにgeneric lookingなメールで breachについて説明してたんだけど。
今朝届いたのは、一般的な”Important Notice”ってメール?それとももっと具体的なやつ?
私が受け取った”Important Notice”には、「”あなたの口座に関連する情報が含まれていました”」って書いてあったよ。あと、4月1日にもbreachについて似たようなメールが来てたんだ。同じものかわからないけど。
しつこくてごめんね、その正確な言い方?今朝届いたメールには”社内ポリシーに合わない方法であなたのアカウント関連情報にアクセスされた可能性を示す活動を検出しました”って書いてあったんだけど。
”お前のデータやっちまったぜブラザー”って言う会社の言葉でしょ
もっとコメントを表示(2)
”うわあそれ知らなかったです、あなたから初めて聞きましたよ”っていうスクリプト読まれたんだね。
もしかしたらマジで最初の人はやる気ないカスタマーサポート担当に当たってついてなかったのかも。
Coinbaseがあんな機密情報(本人確認以上)を保管しなきゃいけないのはKYC法のおかげ。だからパスポート写真が盗まれたり、犯罪者や悪いCoinbaseの社員がその情報で何をするかは、お国の政府に感謝しなよ。
KYCにはちゃんと理由があるよ。問題は政府の規制じゃなくて、またしても民間企業が顧客データにずさんなこと。ずさんだと安いし、彼らの情報じゃないから、法で強制されない限り守る気なんてほとんどないんだよ。
民間企業を代行させる政府規制を作った人たちが、民間企業が他人のデータにどんだけずさんか知らなかったわけないよね?KYCを設計する時に、長期保存を最小限にするようにはできたはずだけど、アメリカみたいな政府は、他人の権利に関してはそもそもずさんなんだよ。
もしこれを政府が企業にやらせて、ハッキングされた時も銀行が顧客を知らないようにするのを優先って見方をするなら、規制を非難するのも面白いかも。でも結局そうは思えないな、だって私たちは企業にデータ守って違法行為防ぐの期待してるわけで、政府が企業に頼んでミスしないようにするのとは違うから。
これCoinbaseに4億ドルかかるんだって。これ防ぐために彼らは十分やる気あるはずだよ。
正直、これって「後付けの正当化」だよ。決済会社は取引を増やすのが一番の目的で、セキュリティは二の次。だってデータ流出しても評判落ちるくらいでしょ。Coinbaseみたいに規制ゆるいとこは成長と金儲けしか考えてないって。「早く動いて、ぶっ壊せ」がモットーなんだから。
あそこはさ、ユーザーが商品になる無料サイトとは違うんだよ。会社の評判とか存続そのものが危ないわけ。こういうサイトにとって、もう有利な状況じゃないと思うね。
KYCで必要以上に機密情報を全部持っておくのはさ、正直言い訳だろ。なんで全エージェントが本人確認書類にずっとアクセスできる必要があるんだよ?正直になれよ。
Coinbaseが「悪意のある海外担当者」から距離置いてるけど、もし従業員なら会社がデータを売ったようなもんだよな。ハッカーが身代金要求って形に。だまされた人への返金はわかるけど、引っ越しやセキュリティ費用とか、もっと広い損害も会社から取り戻せるのかな?そこが気になるね。
これって変な解釈だと思うんだけど。会社の従業員がさ、会社のルールに反して、たぶん違法にデータを持ち出してハッカーにお金と引き換えに渡した場合、「会社が自社のデータを売った」とは言えないだろ。
確かに承認されてないのはわかるけどさ、それでも会社に損害の責任を負わせるべきだと思うね。俺らの取引関係は会社とであって、従業員とか業者じゃないんだから。会社は加害者を追えるんだし。もし安い、信用できない、保険もかけてない業者を使ってるなら、それは会社の責任であって、免責される理由にはならないでしょ。
不法行為法には詳しくないけど、会社に何らかの責任はありそうだと思うね。でも「会社がそれをやった」って言うのは違う気がするな。会社に雇われてる誰かが、自分の意思でやったことだろ。会社はただ、そいつにそれができる権限を与えただけなんだから。
ある意味では言えるかもね。会社ってのは従業員なんだから。もし誠実な従業員が欲しけりゃ、一番安く雇える国の底辺みたいなやつらより、もっといい給料を払う必要があるかもね。お金扱うなら従業員審査するのは会社の責任だろ。Coinbaseが客に返金してるのはそのせいだよ。責任範囲は議論の余地ありだけどね。
これって変な解釈だと思うんだけど…(中略)…「会社が自社のデータを売った」とは言えないだろ。
従業員が新機能をリリースした時、「うちの会社が新機能をリリースした?」って言わないわけ?
