Coinbase a communiqué sur son blog ce jeudi 15 mai affirmant que « des cybercriminels ont soudoyé et recruté un groupe d'agents d'assistance [se situant en dehors des États-Unis] pour voler les données des clients de Coinbase afin de faciliter les attaques d'ingénierie sociale ».

L'entreprise d'échange d'actifs numériques affirme que les auteurs de cette attaque ont récupéré des données de clients en échange d'argent en cash. Ces données proviennent des outils d'assistance à la clientèle de Coinbase. L'entreprise estime que « moins de 1 % des utilisateurs de Coinbase effectuant des transactions mensuelles » ont été touchés.

Un phishing très ciblé grâce à de nombreuses informations récoltées

L'attaque consistait, détaille Coinbase, à s'appuyer sur ces données pour effectuer un phishing très ciblé de ses clients en les incitant à leur remettre leurs cryptomonnaies. Elle indique que les cybercriminels ont récupéré les noms, adresses, numéros de téléphone, email et les derniers chiffres de leur numéro de sécurité sociale.

Mais dans sa liste, l'entreprise explique qu'ils ont aussi eu accès à certains identifiants de comptes bancaires, ainsi que les derniers chiffres des comptes en banque, aux copies en images des pièces d'identité, au détail de la situation des comptes Coinbase de ces clients (solde et historique).

Toujours selon Coinbase, ils ont aussi récupéré des documents interne à l'entreprise et avaient accès aux communications de la plateforme avec ses clients.

Bref, des informations suffisamment détaillées pour mettre en place un phishing efficace, même s'ils n'ont pas eu accès aux identifiants, aux codes 2FA, aux clés privées ou directement aux comptes des clients, comme le précise Coinbase.

L'entreprise explique que les cybercriminels ont essayé de la faire chanter en lui demandant une rançon de 20 millions de dollars. Elle affirme avoir refusé et, à la place, offre une récompense du même montant « pour des informations permettant l'arrestation et la condamnation des agresseurs ».

Entre 180 et 400 millions de dollars

Dans sa communication, l'entreprise se tait sur le montant total de l'escroquerie. Il faut consulter la déclaration qu'elle a faite mercredi auprès de la Securities and Exchange Commission (SEC) pour avoir plus de détails. Selon celle-ci [PDF], Coinbase a « estimé, à titre préliminaire, que les dépenses liées aux coûts de remise en état et aux remboursements volontaires des clients dans le cadre de cet incident se situeraient dans une fourchette comprise entre 180 et 400 millions de dollars ».

Dans ce document, Coinbase explique avoir été contactée par email le 11 mai dernier par « un acteur inconnu prétendant avoir obtenu des informations sur certains comptes clients de Coinbase, ainsi que des documents internes de Coinbase, y compris des documents relatifs aux systèmes de service à la clientèle et de gestion des comptes ».

L'entreprise explique à l'autorité des marchés financiers étasunienne, comme dans sa communication publique, que ces données ont été obtenues « en payant plusieurs contractants ou employés travaillant dans des fonctions d'assistance en dehors des États-Unis ».

Des accès déjà repérés, le personnel concerné licencié

Mais elle ajoute qu'elle avait déjà repéré indépendamment des cas de personnel accédant à des données sans nécessité professionnelle « au cours des mois précédents ». Elle affirme que, « dès leur découverte, l'entreprise a immédiatement licencié le personnel concerné, mis en place des mesures de protection renforcées contre la fraude et averti les clients dont les informations ont été potentiellement consultées afin d'empêcher toute utilisation abusive des informations compromises ».

« L'adoption des crypto-monnaies dépend de la confiance » affirme Coinbase dans son billet de blog, promettant d'investir dans des outils de défense « de classe mondiale ». Elle s'excuse auprès des clients touchés « pour les inquiétudes et les désagréments causés par cet incident » et promet de rembourser les clients qui ont envoyé des fonds au scammeur « après un examen visant à confirmer les faits ».

Coinbase est visée par la SEC sur une autre affaire : l'autorité enquête toujours sur les déclarations erronées de l'entreprise concernant le nombre de ses utilisateurs, explique le New York Times.