Компания Coinbase подтвердила утечку данных, произошедшую в декабре, когда подрядчик неправомерно получил доступ к данным примерно тридцати клиентов.
«В прошлом году наша команда безопасности обнаружила, что один подрядчик Coinbase неправомерно получил доступ к информации о клиентах, что затронуло очень небольшое количество пользователей (примерно 30). Этот человек больше не оказывает услуги Coinbase. Пострадавших пользователей мы уведомили в прошлом году, и им были предоставлены услуги по защите от кражи личных данных и другие рекомендации. Мы также сообщили об этом инциденте соответствующим регулирующим органам, как это принято», — сообщил представитель Coinbase изданию BleepingComputer.
Как стало известно BleepingComputer, это недавно раскрытая утечка данных, произошедшая внутри компании, и она не связана с ранее раскрытой утечкой из TaskUs в январе 2025 года.
Заявление последовало после того, как злоумышленники, известные как «Scattered Lapsus Hunters» (SLH), ненадолго опубликовали скриншоты внутреннего интерфейса поддержки Coinbase в Telegram, а затем удалили эти публикации. На скриншотах была показана панель поддержки, предоставляющая доступ к информации о клиентах, включая адреса электронной почты, имена, даты рождения, номера телефонов, информацию KYC, балансы криптовалютных кошельков и транзакции.
Пока неясно, стояла ли эта группа за утечкой данных внутри компании или это сделали другие злоумышленники. Однако те же хакеры ранее заявляли, что подкупили инсайдера в CrowdStrike, чтобы тот поделился скриншотами внутренних приложений.
В последние несколько лет компании, занимающиеся аутсорсингом бизнес-процессов (BPO), все чаще становятся мишенью для злоумышленников, стремящихся получить доступ к данным клиентов, внутренним инструментам или корпоративным сетям. Обычно это сторонние фирмы, выполняющие операционные задачи для другой организации, в том числе по поддержке клиентов, проверке личности, услуги IT-поддержки и управление учётными записями.
Поскольку сотрудники BPO часто имеют доступ к конфиденциальным внутренним системам и ин��ормации о клиентах, они стали ценной целью для злоумышленников.
В прошлом году злоумышленники использовали уязвимости BPO, подкупая инсайдеров с законным доступом, используя методы социальной инженерии для предоставления несанкционированного доступа и взламывая учётные записи сотрудников.
В прошлом году Coinbase сообщила об аналогичной утечке данных, связанной с внешними сотрудниками службы поддержки клиентов, работающими в TaskUs. Это аутсорсинговая компания, предоставляющая услуги криптовалютной бирже.
Ещё одна распространённая тактика — это атаки с использованием методов социальной инженерии против аутсорсинговых IT-служб и служб поддержки, когда злоумышленники выдают себя за сотрудников и звонят на горячие линии BPO, чтобы получить доступ к внутренним корпоративным системам.
В одном из случаев хакеры, выдавая себя за сотрудника, убедили агента службы поддержки Cognizant предоставить им доступ к учётной записи сотрудника Clorox, что позволило им взломать сеть компании. Этот инцидент позже стал предметом иска Clorox против Cognizant на сумму $380 млн.
Google также сообщила, что злоумышленники атаковали американские страховые компании с использованием методов социальной инженерии против аутсорсинговых служб поддержки, чтобы получить доступ к внутренним системам.
Розничные торговцы подтвердили, что атаки с использованием методов социальной инженерии против персонала службы поддержки способствовали внедрению программ-вымогателей и краже данных.
В некоторых случаях хакеры сами атакуют учётные записи сотрудников аутсорсинговых компаний, чтобы получить доступ к данным клиентов.
В октябре Discord сообщила об утечке данных, в результате которой, предположительно, были раскрыты данные 5,5 млн уникальных пользователей. Это произошло после взлома её системы поддержки Zendesk.
Хотя компания не подтвердила, как именно был взломан экземпляр, злоумышленники сообщили BleepingComputer, что они использовали учётную запись агента службы поддержки, работающего в аутсорсинговой компании по обработке бизнес-процессов.
