Coinbase, il più grande exchange di criptovalute con sede negli Stati Uniti in base alle metriche di volume di trading, sta affrontando un’intensa reazione negativa dopo che i rapporti di giovedì hanno indicato che un dipendente canaglia ha divulgato dati sensibili dei clienti.
Gli utenti si sono mobilitati dopo che i rapporti suggeriscono che il rischio era noto mesi prima che l’azienda divulgasse l’incidente.
Utenti indignati per la fuga di dati avvenuta mesi prima della divulgazione
La violazione interna, che avrebbe colpito “meno dell’1 %” degli utenti attivi mensili di Coinbase, ha scatenato un’ampia indignazione nella comunità crypto. Gli utenti segnalano di essere stati presi di mira in sofisticati schemi di phishing e truffe di impersonificazione.
Tra loro c’è QwQiao, una presunta vittima mirata che racconta la precisione agghiacciante della truffa. QwQiao, che lavora nel supporto clienti presso Alliance DAO, ha detto di essere quasi caduto vittima ma di aver superato in astuzia i malintenzionati.
“…Li ho chiamati alla fine della chiamata dicendo loro che devono migliorare il loro gioco perché questa truffa è ridicola. Mi hanno detto che avevano guadagnato $7 milioni quel giorno,” ha dichiarato.
Adam Cochran, una figura rinomata su X (ex Twitter), ha condannato il fallimento di Coinbase nel proteggere dati come documenti d’identità governativi e indirizzi fisici. Dice che questa mancanza comporta rischi che superano di gran lunga la perdita finanziaria.
“La divulgazione di Coinbase qui si concentra sui fondi rubati, ma è irrilevante… Nessun elemento della politica KYC/AML richiede che questo tipo di cose sia accessibile ai tuoi agenti di supporto clienti. Non voglio sentire cosa sta facendo Coinbase per recuperare i fondi – voglio sapere cosa stanno facendo per gestire meglio i dati privati,” ha espresso.
L’indignazione arriva in mezzo a accuse che la violazione sia avvenuta già a gennaio. Gli utenti e gli analisti dicono che il presunto silenzio di Coinbase ha lasciato gli utenti vulnerabili per mesi.
“Coinbase sapeva che i dati dei loro utenti erano stati rubati da gennaio, ma non ha detto nulla fino ad ora? Abbiamo avuto infiniti rapporti di utenti di Coinbase prosciugati da impersonatori. Ora sappiamo perché,” ha scritto Duo Nine, un analista rinomato.
Secondo Duo Nine, la presunta negligenza di Coinbase mette a rischio concentrato anche le partecipazioni istituzionali. Coinbase gioca un ruolo dominante nel mercato degli ETF crypto spot (exchange-traded fund). In particolare, fornisce servizi di custodia per otto degli 11 Bitcoin ETF e otto dei nove Ethereum ETF.
L’exchange Coinbase offre anche esecuzione di trading e servizi di sorveglianza del mercato. In particolare, non è la prima volta che il suo dominio nei servizi di custodia ha portato a preoccupazioni sulla sua posizione come potenziale punto di fallimento unico.
“Non è di buon auspicio che quasi tutti gli emittenti di ETF crypto abbiano lo stesso custode per tutti i loro BTC ed ETH. Questo rende Coinbase un potenziale punto di fallimento unico, ed è spaventoso,” ha detto recentemente Eleanor Terret detto.
Coinbase non ha risposto immediatamente alla richiesta di commento di BeInCrypto.
I rischi della fuga di notizie sono imprevedibili e pericolosi
Nel frattempo, sorgono preoccupazioni che questa violazione sia particolarmente inquietante perché Coinbase non è stata hackerata. Invece, è stata tradita dall’interno. Un dipendente del supporto ha avuto accesso e ha venduto dati dei clienti sul mercato nero.
Per alcuni, questo si presenta come un evidente fallimento dei controlli interni. Bob Loukas, un trader di posizioni, ha parlato chiaramente, criticando l’exchange per la mancanza di una corretta divulgazione.
“Sai di avere i dati più ricercati e hai permesso agli agenti di supporto di accedervi in massa. Questo è inaccettabile,” ha dichiarato Loukas.
Le implicazioni vanno oltre il furto finanziario, con il fondatore di Rotki Lefteris Karapetsas che avverte che centralizzare i dati di identità reale insieme ai saldi crypto è un “disastro in attesa di accadere.”
“Coinbase ha appena dimostrato ancora una volta perché i honeypot di dati centralizzati sono un disastro in attesa di accadere. KYC significa consegnare la tua identità per essere divulgata, venduta o estorta. La combinazione di dati esposti qui (indirizzi reali, indirizzi crypto, quantità e documenti d’identità reali) è letale,” ha postato.
Rotki è un’app di tracciamento del portafoglio, con Karapetsas, un esperto di protezione dei dati, che fa riferimento a un recente tentativo di rapimento che coinvolge la famiglia di un leader crypto di Parigi. Ariel Givner, un avvocato aziendale specializzato in fintech, ha confermato le paure del mondo reale.
“Oggi mi hanno contattato cinque persone. Sono spaventate per la loro sicurezza e quella delle loro famiglie. Può peggiorare,” ha scritto.
Gli esperti di intelligence affermano che l’incidente potrebbe far parte di una vendita più ampia sul dark web. Secondo fonti di cybersecurity, un attore minaccioso ha recentemente offerto un archivio di 18 milioni di record provenienti da piattaforme crypto statunitensi.
Tra questi, oltre 432.000 record di utenti Coinbase per $10.000, contenenti nomi, email, numeri di telefono, indirizzi e altro.
Coinbase deve ancora affrontare l’indignazione degli utenti, ma sta offrendo un fondo di ricompensa di $20 milioni per informazioni che portino all’arresto e alla condanna degli attori malintenzionati. L’exchange ha dichiarato di aver contattato tutte le vittime coinvolte.
“Se i tuoi dati sono stati accessi, hai già ricevuto un’email da [email protected]; tutte le notifiche sono state inviate alle 7:20 a.m. ET ai clienti coinvolti,” ha detto il supporto di Coinbase su X
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
