美國加密貨幣交易平臺Coinbase有內賊，部分客戶資料外洩

美國最大加密貨幣交易平臺Coinbase周四（5/15）揭露，該公司在海外的客戶支援約聘人員或員工遭到惡意人士的賄賂，擅自進入系統盜走客戶資料，誘導客戶轉帳，還企圖向Coinbase勒索2,000萬美元。Coinbase已開除這些約聘人員，退款予受到詐騙的用戶，拒絕支付贖金，並以贖金金額作為懸賞惡意人士的獎金。事件曝光後，當天Coinbase股價下滑了7.2%，跌至244.44美元。

根據Coinbase本周提供給證券交易委員會（SEC）的文件，該公司是在數月以前便察覺，有約聘人員在沒有業務需求的狀況下存取內部系統，接著在本周日（5/11）收到勒索信件，宣稱已獲得某些Coinbase客戶帳戶的資料，以及Coinbase的內部文件，包括那些與客戶服務與帳戶管理系統有關的資料，要求Coinbase支付2,000萬美元的贖金，否則就要對外公開此事。

Coinbase表示，這些內賊是透過不同的客戶支援工具取得Coinbase用戶的資料，受到影響的用戶不到每月交易用戶數的1%。目前Coinbase的每月交易用戶數約為970萬，意謂著受到波及的用戶數不到10萬。

不過，內賊所取得的用戶資料包括他們的姓名、地址、電話、電子郵件位址、社會安全碼的最後4個字、不完整的銀行帳號號碼、諸如護照及駕照等證件影本、帳戶餘額及交易歷史紀錄，以及用來培訓或支援客服的Coinbase文件及通訊資料。

該公司強調，除了上述之外，用戶的登入憑證、2FA代碼及私鑰等資料都未被危害，惡意人士也沒有任何轉移或存取客戶資金的能力，也無法存取Prime帳戶，亦不得存取Coinbase或Coinbase客戶的冷錢包或熱錢包。

惡意人士所做的是憑藉著所獲得的Coinbase客戶資料展開社交工程攻擊，誘導使用者移轉資金。

Coinbase除了已知會執法機構，加強對用戶的反詐欺保護之外，也正在與業者合作，標註惡意人士所使用的錢包位址以追回資產，彌補被騙客戶的損失之外，另也將駭客所提出的2,000萬美元贖金當作是懸賞獎金，獎勵那些提供線索以找到攻擊者的人。至於那些收取賄賂的內賊除了直接被開除之外，Coinbase也在美國與國際執法機構對他們提出刑事訴訟。

根據Coinbase的初步估計，與該事件相關的補救及補償成本，約介於1.8億美元至4億美元之間。