Không giống như các hacker crypto Nga và Triều Tiên thường chỉ theo đuổi tiền bạc, các thành viên của nhóm Comm thường muốn gây chú ý và tận hưởng niềm vui của việc phá hoại.
Bản gốc:Bên trong vụ vi phạm Coinbase trị giá 400 triệu đô: Một trung tâm dịch vụ khách hàng Ấn Độ và những hacker tuổi teen(Fortune)
Tác giả:Ben Weiss,Jeff John Roberts
Biên dịch:Luffy,Foresight News
Đồng sáng lập kiêm CEO Coinbase Brian Armstrong phát biểu tại một sự kiện ở Bangalore, Ấn Độ năm 2022
Ngày 15 tháng 5 năm 2025, Coinbase tiết lộ dữ liệu cá nhân của hàng chục nghìn khách hàng bị đánh cắp, đây là sự cố an ninh lớn nhất trong lịch sử công ty, dự kiến sẽ gây thiệt hại lên tới 400 triệu đô la. Vụ rò rỉ dữ liệu này không chỉ gây chú ý bởi quy mô của nó, mà còn bởi phương thức tấn công của hacker: hối lộ nhân viên dịch vụ khách hàng ở nước ngoài để có được thông tin khách hàng mật.
Coinbase công khai tuyên bố sẽ trả thưởng 20 triệu đô la cho những người cung cấp manh mối giúp bắt và kết tội các tội phạm, nhưng lại tiết lộ rất ít về danh tính của kẻ tấn công hoặc chi tiết vụ hack.
Một cuộc điều tra gần đây của tạp chí Fortune (bao gồm việc xem xét email giữa Coinbase và một hacker) đã tiết lộ những chi tiết mới về sự việc, ngầm chỉ ra rằng một mạng lưới lỏng lẻo gồm các hacker trẻ nói tiếng Anh chịu một phần trách nhiệm. Đồng thời, kết quả điều tra cũng làm nổi bật điểm yếu của các đơn vị BPO (thuê ngoài quy trình kinh doanh) trong hoạt động an ninh của các công ty công nghệ.
Nội gián hành động: Dịch vụ thuê ngoài trở thành điểm yếu
Câu chuyện bắt đầu từ một công ty niêm yết nhỏ ở New Braunfels, Texas - TaskUs. Giống như các công ty BPO khác, công ty này thuê nhân viên nước ngoài với chi phí thấp để cung cấp dịch vụ khách hàng cho các công ty công nghệ lớn. Theo người phát ngôn của công ty, vào tháng 1 năm nay, TaskUs đã sa thải 226 nhân viên làm việc cho Coinbase tại trung tâm dịch vụ của mình ở Indore, Ấn Độ.
(Phần còn lại của bản dịch tương tự, tuân thủ các quy tắc dịch thuật đã được đặt ra)Ngoài ra, hai nhà nghiên cứu an ninh khác đã từng trò chuyện với hacker nặc danh này đã nói với tạp chí Fortune rằng họ cho rằng người này đáng tin cậy. Một người trong số họ nói: "Dựa trên những gì anh ta chia sẻ với tôi, tôi đã nghiêm túc xem xét lời khai của anh ta và không thể tìm thấy bằng chứng cho thấy lời khai của anh ta là sai." Cả hai nhà nghiên cứu đều yêu cầu được giấu tên vì lo ngại việc bị triệu tập do trò chuyện với hacker này.
Trong cuộc trao đổi, người đàn ông này đã chia sẻ nhiều ảnh chụp màn hình, cho rằng đó là các email trao đổi với đội ngũ an ninh của Coinbase. Anh ta sử dụng tên "Lennard Schroeder" khi liên lạc với Coinbase. Anh ta còn chia sẻ ảnh chụp màn hình của một tài khoản thuộc về một cựu giám đốc cấp cao của Coinbase, trong đó hiển thị các giao dịch crypto và nhiều thông tin cá nhân chi tiết.
Coinbase không phủ nhận tính xác thực của những ảnh chụp màn hình này.
Các email mà hacker tự xưng này chia sẻ bao gồm mối đe dọa tống tiền bằng 20 triệu đô la Bitcoin (Coinbase từ chối trả), cùng những nhận xét mỉa mai về việc nhóm hacker sẽ dùng một phần số tiền để mua tóc cho CEO hói của công ty, Brian Armstrong. "Chúng tôi sẵn sàng tài trợ cho việc cấy tóc để anh có thể thoải mái du hành khắp thế giới," hacker viết.
Trong các tin nhắn Telegram, người này (được một nhà nghiên cứu an ninh cho tạp chí Fortune biết về sự tồn tại của anh ta) đã thể hiện sự khinh miệt đối với Coinbase.
Nhiều vụ cướp crypto được thực hiện bởi các nhóm tội phạm Nga hoặc quân đội Triều Tiên, nhưng theo lời kể thì vụ hack này do một liên minh lỏng lẻo gồm các thanh thiếu niên và những người ở độ tuổi 20 được gọi là "Comm" hoặc "Com" thực hiện.
Trong hai năm qua, các báo cáo về nhóm Comm đã xuất hiện trong các bài báo về các sự cố hack khác, bao gồm một bài báo của New York Times đầu tháng này, trong đó một nghi phạm tự xưng là thành viên của tổ chức này và bị tình nghi thực hiện một loạt vụ trộm crypto. Theo Wall Street Journal, vào năm 2023, các điều tra viên xác định rằng các hacker của tổ chức này đã tấn công một số sòng bạc trực tuyến ở Las Vegas và cố gắng tống tiền MGM Resorts 30 triệu đô la.
Khác với các hacker crypto Nga và Triều Tiên thường chỉ theo đuổi tiền bạc, các thành viên của nhóm Comm thường muốn gây chú ý và tận hưởng niềm vui của trò phá phách. Đôi khi họ hợp tác để hack, nhưng cũng cạnh tranh với nhau để xem ai ăn cắp được nhiều hơn.
"Họ đến từ thế giới game và mang điểm số cao vào thế giới thực," Josh Cooper-Duckett, giám đốc điều tra của công ty điều tra crypto Cryptoforensic Investigators, nói, "Trong thế giới này, điểm số của họ là số tiền họ đã ăn cắp được."
Trong các tin nhắn Telegram, hacker tự xưng này cho biết các thành viên của Comm chuyên trách các giai đoạn khác nhau của vụ cướp. Nhóm của anh ta đã hối lộ nhân viên hỗ trợ khách hàng và thu thập dữ liệu khách hàng, sau đó chuyển dữ liệu cho những người ngoài nhóm chuyên về các thủ đoạn kỹ thuật xã hội. Họ bổ sung rằng các nhóm chi nhánh Comm khác nhau sẽ phối hợp trên các nền tảng mạng xã hội như Telegram và Discord để thực hiện các phần khác nhau của hành động và phân chia số tiền chiếm được.
Sergio Garcia, người sáng lập công ty điều tra crypto Tracelon, nói với tạp chí Fortune rằng mô tả của hacker về vụ tấn công Coinbase phù hợp với những quan sát của ông về cách thức hoạt động của nhóm Comm và các vụ lừa đảo kỹ thuật xã hội crypto khác. Những người am hiểu cho biết, những người tấn công khách hàng trong các vụ lừa đảo kỹ thuật xã hội gần đây đều nói tiếng Anh Bắc Mỹ rất trôi chảy.
Theo một nguồn thạo tin về mức lương của nhân viên BPO, nhân viên của TaskUs ở Ấn Độ có mức lương hàng tháng từ 500 đến 700 đô la. TaskUs từ chối bình luận. Garcia nói với tạp chí Fortune rằng, mặc dù con số này cao hơn GDP bình quân đầu người của Ấn Độ, nhưng mức lương thấp của nhân viên hỗ trợ khách hàng thường khiến họ dễ dàng chấp nhận hối lộ hơn. "Rõ ràng đây là mắt xích yếu nhất trong chuỗi, bởi vì họ có động cơ kinh tế để chấp nhận hối lộ," anh nói thêm.
Tuyên bố miễn trách nhiệm: Với tư cách là nền tảng thông tin blockchain, các bài viết được đăng trên trang web này chỉ đại diện cho quan điểm cá nhân của tác giả và khách mời, không liên quan đến lập trường của Web3Caff. Thông tin trong bài viết chỉ mang tính tham khảo, không cấu thành bất kỳ lời khuyên đầu tư hay đề nghị nào, và vui lòng tuân thủ luật pháp liên quan của quốc gia hoặc khu vực của bạn.
