Coinbase数据泄露内鬼作祟5个月未披露引争议

BlockBeats在最近的用户数据泄漏事件中，Coinbase的处理方式堪称典范。作为加密行业的领军企业，且是首家也是唯一一家进入S&P 500的加密公司，Coinbase的表现更显从容不迫。尽管作者本人对Coinbase已抱有基本的尊重，但此次事件无疑将这家公司推上了舆论的风口浪尖。5月8日，加密侦探ZachXBT在其个人频道发布声明，指出又有4500万美元从Coinbase用户手中被”社交工程”手段骗取。而在过去几个月中，他所追踪到的类似案件金额已高达九位数。骗子通常冒充Coinbase客服，通过电话或邮件诱导用户点击伪装成官网的钓鱼链接，最终将资金转入骗子账户。有人质疑用户被骗与Coinbase有何关联，认为”平台不是政府监管部门，怎么能阻止用户点进钓鱼邮箱呢？”然而，其他主要交易平台并未出现如此大规模的诈骗问题。更令人担忧的是，诈骗犯竟能准确说出受害者的账户余额、交易时间，甚至提供身份证照片，这一切都暗示着Coinbase的数据可能已经泄露。我们再来看看Coinbase自身的说法。5月14日提交给SEC的8-K文件显示，Coinbase早在2025年1月就通过安全系统发现，部分海外客服代表在”无业务需要”的情况下访问了用户的完整身份信息。而5月20日Coinbase向缅因州总检察长办公室提交的报告则进一步证实，数据泄露事件发生在2024年12月26日，但直到5月11日才被发现，并于5月15日正式公告。Coinbase的公告称，犯罪分子通过贿赂海外客服人员获取了用户数据，包括姓名、地址、电话、电子邮件、政府身份证明图像、账户余额和交易记录等。这意味着数据早在冬季就被窃取，但Coinbase直到标普500纳入的关键时刻才被迫公开处理这一”房间里的大象”。Coinbase声称在发现异常访问后解雇了相关人员并加强了安全监控，但在五个月内仅发出过一封含糊不清的邮件，称某员工”可能违规”查看了账户记录。The Block联合创始人Mike Dudas此前在X上披露自己收到了Coinbase的令人不安的邮件，但除此之外，Coinbase并未提供更多官方公开披露的信息。更令人震惊的是，5月15日Coinbase正式公告数据泄露的当天，一份新的用户协议正式生效，堪称Coinbase的”自我保护盾”。该协议禁止任何形式的集体诉讼，并强制所有用户必须在纽约法院独立提起诉讼。选择纽约的原因在于，纽约州对企业极为有利，如果合同中写明所有争议需在纽约法院解决，且涉案金额超过100万美元，法院不能以”换个更方便地点”拒绝受理。纽约南区法院是金融案件的集中地，Coinbase和SEC的诉讼也正是在这里打响的。此外，尽管Coinbase从2021年起转为”远程优先”公司，但在今年旧金山新拟议的办公室落地之前，纽约One Madison是Coinbase在美国最大的办公场所，已签署11年租约，面积为旧址的两倍。在这种背景下，即使成千上万的用户受害，也必须”单枪匹马”远赴纽约自费起诉。协议在4月11日更新，5月15日生效，与数据泄漏披露时间几乎无缝衔接。如此”精准踩点”的合约变更，堪称”迨天之未阴雨，彻彼桑土，绸缪束薪”——Coinbase未雨绸缪的前瞻性堪比诸葛孔明。这一举动也引发了技术安全研究员Molly White的质疑，但Coinbase首席执行官Brian Armstrong回应这是”阴谋论”。当Molly White进一步追问”为什么Coinbase花了一个多月才向SEC披露此次数据违规？上市公司发现重大网络安全事件时，理应在四个工作日内进行披露。”Brian Armstrong便不再回应。与此同时，彭博社援引知情人士称，在过去五个月内，黑客通过贿赂Coinbase客服代表，实现了对用户信息的”按需访问”。甚至在公告发布前几天的星期三，黑客仍在访问这些数据。但这一说法被Coinbase首席安全官Philip Martin反驳。Coinbase目前的说法是，他们发现有员工不当访问了数据，并已开除相关人员，但当时并不知道数据已泄漏。直到5月收到黑客勒索邮件，才意识到问题的严重性。然而，在修改协议、封堵集体诉讼入口的五个多月里，Coinbase却”视而不见”了来自社区、安全研究者的提醒、质疑和警告。打开Reddit的Coinbase论坛，从1月开始就有大量用户报告账户被盗、社工诈骗频发。面对无数来自社区的提醒，Coinbase却严格遵守了”不要回答、不要回答、不要回答”的原则。如果有人为其辩解说Coinbase可能不逛Reddit看不到社区经历的一切，那么推特上那些大KOL、安全研究者的持续提醒他们肯定能看见。拥有86万粉丝的币圈最强侦探ZachXBT在2月初就指出，仅去年底至今年初，就有超过6500万美元因社工攻击被盗。3月底他再次发声称，过去两周又有4600万美元被盗。他不止一次直指：Coinbase不作为。还有MetaMask安全负责人、资深链上调查员Taylor Monahan，几乎每周在Twitter上公开批评Coinbase，不断尝试将证据交给他们的安全和支持团队，而Coinbase的”高级调查主管”早在2024年底就把她拉黑了。Taylor Monahan还直接揭露：Coinbase大规模外包了客服工作给印度的第三方服务商TaskUs。早在2025年1月11日，Coinbase大规模裁员开除了300多名印度客服，理由是”盗窃”与”违规操作”。随后办公室迁到古尔冈城市，但内部数据泄露依然频繁发生，于是3月和4月又发生了新一波的”裁员”。对于Coinbase口中的那句”我们直到5月11日才知道”，她毫不留情地讽刺道：”这将是一场非常’有趣’的表演——看他们怎么装作完全不知道，直到勒索邮件来了”、”最有可能的说辞就是：’这不算重大泄露，不需要披露。'”有些讽刺的是，在Coinbase高管否认、推脱、冷处理的同时，反倒是一些Reddit用户和受害者，开始自发性地组织出”锦衣卫”，找到了一些骗子的蛛丝马迹。一位用户名为Scammer-fight-back的用户和自己的整个团队与骗子展开”对线”，他们多次打电话给这些骗子、录音、保存信息。最终他们追踪到：这些骗子多数来自英国曼彻斯特，办公在同一个小办公室里，用本地口音冒充Coinbase客服，一边套取信息，一边完成诈骗流程。另一位网友dyfedavalon也有相同的看法：”这是一家来自英国的大型诈骗团伙，规模和范围很大，能力很强”、”我打电话回去找那些骗子，结果是同一群人。他们这行真的做得太溜了”、”我和他们聊了很多次，他们以为我是受害者，但我是英国人，所以能听出和调侃他们的英国口音。他们后来直接请求我别再打电话骚扰他们。”还有前文提到的MetaMask安全负责人Taylor Monahan的调查信息显示：Coinbase外包的第三方印度服务商TaskUs内部员工是在Telegram上与黑客接头的，每笔出售用户邮箱、手机号、2FA信息的交易收取费用约1万美元，这些钱通过PayPal或银行账户直接打入个人名下。至于为什么有人愿意冒这么大风险泄密？Taylor分享了更多从这些”印度黑奴”内部流出的内容，直指TaskUs的真实工作状态：厕所不让上，吃饭时间要靠抢，交付量不够就会被管理层集体冷处理；压力大得离谱，生病请假都会被记成”旷工”，工资直接扣；因为培训没跟上节奏，就被直接当场开除。”这是我职业生涯做过最糟糕的决定。HR根本不站在你这边，你哪怕哭着投诉都没人管你。最后连经验证明都拿不到，因为他们要求我赔偿’培训成本'”有员工这样写道。根据Glassdoor、Indeed等平台数据：Coinbase本地客服年薪6-7万美元，印度外包客服仅为3600–4800美元/年。也就是说，一名美国客服的薪资能找至少15个印度外包客服。按300个外包岗位算，Coinbase在这里一年就能节省1800万美元。这还不包括办公场地、社保、加班费、技术支持等隐性成本节省。而值得一提的是，据彭博社记者的调查，Coinbase为CEO Brian Armstrong支付一年的个人安保费用是620万美元。Coinbase首席法务官Paul Grewal，也就是应对4亿美元黑客事件和SEC用户数据调查的总负责人，去年总薪酬超过了820万美元。光是CEO一年的安保费用和首席法务官的薪资，就可能比Coinbase整个平台用户的安保费用都多了。目前事件受影响的用户不乏一些知名人士。据彭博社报道知情人士透露，红杉资本管理合伙人Roelof Botha是受害者之一，他因此被盗的数据包括电话号码、地址以及与其Coinbase个人资料相关的其他敏感账户信息。还有67岁的Ed Suman，这位在艺术界从事近二十年，并参与过杰夫·昆斯《气球狗》雕塑等艺术品制作的知名艺术家，在今年初遭遇假冒Coinbase客服骗局，损失超过200万美元加密货币。Coinbase目前也收到了多起诉讼，用户指控该公司对其个人数据处理不当。此外，Coinbase的这一做法也引起了监管机构的关注。例如，俄勒冈州总检察长办公室已对Coinbase提起诉讼，指控其违反了州证券法，并质疑其用户协议中的仲裁和集体诉讼豁免条款的合法性。根据Elliptic数据，这次事件的赔偿和处置成本达4亿美元，跻身加密史上第八大安全事故。这次攻击并没有”热钱包被黑”这类戏剧性场面，也没有”合约漏洞”这类技术复杂性，而是发生在最基础、最日常、最被忽视的一环：KYC数据。但现实是，Coinbase很可能不会受到太严重的实质惩罚。美国法律中似乎并没有因意外数据泄露而遭受严厉处罚的先例。与数据滥用有关的最有名诉讼案是Facebook，因为他们违反自己签署的”未经用户同意不会与第三方共享用户数据”的承诺，但这与Coinbase面对的情况略有不同。Coinbase的事件更接近于”数据被内部人员泄露给外部黑客”，属于数据访问权限被滥用与外包管理不当，应该够不上系统性隐私欺诈，且损失有限，Coinbase也表示会赔付。更重要的是，Coinbase是一家市值超过600亿美元的公司，也是加密行业唯一一家进了标普500指数的交易平台，拥有丰富的政策关系、深厚的资本资源。在这一次美国大选中，Coinbase及其高管向共和党候选人提供了数千万美元的捐款，并被认为在多项立法游说中发挥重要作用。而SEC撤销对Coinbase的诉讼，也被一度认为是与Coinbase的政治捐款有关。这一切都指出，Coinbase将安然度过这场风暴。而未来，Coinbase还会活得很好，甚至可能越来越好。欢迎加入idea2003 BlockBeats官方社群：Telegram订阅群：http://www.idea2003.cn/theblockbeatsTelegram交流群：http://www.idea2003.cn/BlockBeats_AppTwitter官方账号：http://www.idea2003.cn/BlockBeatsAsia