Violation de la sécurité de Coinbase : fuite de données utilisateur et d'identifiants gouvernementaux

Dans un incident de cybersécurité significatif, Coinbase a confirmé que des cybercriminels, aidés par un groupe d’agents de support à l’étranger corrompus, ont volé des données sensibles de clients dans une tentative d’extorquer la société pour 20 millions de dollars.

L’incident a été révélé après que les attaquants ont contacté Coinbase par e-mail le 11 mai 2025, exigeant une rançon de 20 millions de dollars en échange des données volées.

Cependant, la plus grande bourse de cryptomonnaies basée aux États-Unis a refusé de payer la rançon et a plutôt choisi d’établir un fonds de récompense de 20 millions de dollars pour des informations menant à l’arrestation et à la condamnation des criminels responsables de l’attaque.

Que s’est-il passé

Selon le billet de blog officiel de Coinbase daté du 15 mai 2025, la violation s’est produite lorsqu’un petit groupe de sous-traitants de support client, basés à l’étranger, a été recruté par des cybercriminels par le biais de pots-de-vin en espèces pour exfiltrer des données pour moins de 1 % des utilisateurs mensuels de Coinbase.

Leur objectif était de compiler une liste de clients qu’ils pouvaient cibler en se faisant passer pour Coinbase, afin de tromper les utilisateurs pour qu’ils abandonnent leur cryptomonnaie. Par la suite, ils ont tenté de faire chanter Coinbase, exigeant 20 millions de dollars pour garder la violation cachée. Cependant, Coinbase a refusé l’offre.

Qu’est-ce qui a été volé

Les informations volées comprennent :

• Nom, adresse, téléphone et adresse e-mail ;

• Numéros de sécurité sociale masqués (derniers 4 chiffres uniquement) ;

• Numéros de compte bancaire masqués et certains identifiants de compte bancaire ;

• Images d’identifiants gouvernementaux tels que permis de conduire et passeport ;

• Instantanés de solde de données de compte et historique des transactions ; et

• Données d’entreprise limitées, y compris des documents, du matériel de formation et des communications disponibles pour les agents de support

« Les cybercriminels ont soudoyé et recruté un groupe d’agents de support à l’étranger pour voler les données des clients de Coinbase afin de faciliter des attaques d’ingénierie sociale. Ces initiés ont abusé de leur accès aux systèmes de support client pour voler les données de compte d’un petit sous-ensemble de clients », a écrit Coinbase dans un billet de blog jeudi.

« Aucun mot de passe, clé privée ou fonds n’ont été exposés et les comptes Coinbase Prime sont intacts. »

Mesures de sécurité prises par Coinbase **

Coinbase a déclaré qu’elle prenait l’entière responsabilité de protéger les utilisateurs concernés. Les clients touchés, qui ont été informés par e-mail le 15 mai, seront remboursés s’ils ont été trompés en transférant des fonds à des escrocs en raison d’attaques d’ingénierie sociale.

De plus, la société met également en œuvre des contrôles de retrait plus stricts, car les comptes signalés nécessiteront désormais une vérification d’identité supplémentaire pour les grandes transactions, ainsi que de nouvelles invites de sensibilisation aux escroqueries. Elle ouvre un nouveau centre de support aux États-Unis et ajoute des contrôles de sécurité plus stricts et une surveillance dans tous les lieux.

De plus, pour prévenir de futures violations, la société a augmenté ses investissements dans la détection des menaces internes, la simulation de menaces de sécurité et la réponse automatisée pour identifier des menaces de sécurité similaires dans son infrastructure.

Résister à l’extorsion

Plutôt que de payer la rançon, Coinbase offre une récompense de 20 millions de dollars à quiconque peut aider à traduire les auteurs en justice. La société collabore également avec les forces de l’ordre américaines et internationales et a déjà licencié le personnel de la bourse impliqué dans la violation. Elle portera plainte au pénal.

« En travaillant avec des partenaires de l’industrie, nous avons marqué les adresses des attaquants afin que les autorités puissent suivre et travailler à la récupération des actifs », a ajouté la société.

Recommandation aux utilisateurs

Coinbase exhorte les clients à rester vigilants, car des imposteurs pourraient essayer d’exploiter la situation en se faisant passer pour des employés de Coinbase. La société a réitéré qu’elle ne demandera jamais de mots de passe ou de codes 2FA, ni ne demandera aux utilisateurs de transférer des fonds vers des actifs à une adresse, un compte, un coffre ou un portefeuille spécifique ou nouveau, ou d’appeler ou de texter les utilisateurs pour déplacer des fonds vers un portefeuille « sûr ».

Si cela se produit, la bourse de cryptomonnaies suggère aux utilisateurs de raccrocher avec les imposteurs, de verrouiller immédiatement leur compte dans l’application et d’envoyer un e-mail à [email protected] pour signaler une activité suspecte.

Pour se protéger contre toute violation de données potentielle, Coinbase recommande à ses utilisateurs d’activer l’authentification à deux facteurs (2FA) et d’activer la liste blanche des retraits pour des transferts sécurisés.

« Aux clients concernés, nous sommes désolés pour l’inquiétude et les désagréments que cet incident a causés. Nous continuerons à assumer nos responsabilités lorsque des problèmes surviennent et à investir dans des défenses de classe mondiale, car c’est ainsi que nous protégeons nos clients et maintenons l’économie cryptographique en sécurité pour tout le monde », a conclu Coinbase.