Die Kryptobörse Coinbase ist Opfer eines IT-Vorfalls geworden. Dabei konnten Angreifer sensible Daten erbeuten. Sie erpressen das Unternehmen damit, die Daten zu veröffentlichen. Unklar ist derzeit, welche Cyber-Bande hinter dem Angriff steckt.
In einer Meldung an die Securities and Exchange Commission (SEC) der USA mit einem 8-K-Formular liefert Coinbase einige Information zu dem Vorfall. Demnach hat die Tochterfirma Coinbase Inc. der Coinbase Global Inc. eine E-Mail von unbekannten Bedrohungsakteuren erhalten, in der diese behaupten, Informationen zu bestimmten Coinbase-Kundenkonten sowie interne Coinbase-Dokumentation einschließlich Materialien zum Kundendienst und Kontenverwaltungssystemen erlangt zu haben.
Damit die Täter die Informationen nicht veröffentlichen, soll Coinbase Geld zahlen – den geforderten Betrag nennt das Unternehmen jedoch nicht. "Der Bedrohungsakteur scheint sich diese Informationen beschafft zu haben, indem er mehrere Auftragnehmer oder Angestellte bezahlte, die in unterstützenden Funktionen außerhalb der Vereinigten Staaten arbeiteten, um Informationen von internen Coinbase-Systemen zu sammeln, auf die sie für ihre Aufgaben Zugriff hatten", erörtert Coinbase in dem Meldeformular.
Das Unternehmen erklärt weiter: "Diese Fälle, in denen diese Mitarbeiter ohne geschäftliche Notwendigkeit auf Daten zugriffen, wurden in den vorangegangenen Monaten unabhängig voneinander durch die Sicherheitsüberwachung des Unternehmens aufgedeckt. Nach der Entdeckung hatte das Unternehmen die betroffenen Mitarbeiter sofort entlassen und außerdem verstärkte Schutzmaßnahmen zur Betrugsüberwachung eingeführt. Zudem wurden die Kunden, auf deren Daten möglicherweise zugegriffen wurde, gewarnt, um den Missbrauch der kompromittierten Daten zu verhindern."
Die Untersuchungen seit dem Empfang der E-Mail haben ergeben, dass diese offenbar echt ist. Die vorherigen Vorkommnisse mit unbefugten Datenzugriffen sind demnach Teil einer einzelnen Kampagne – dem jetzigen IT-Vorfall. Coinbase hat die Geldforderung der Angreifer nicht gezahlt und arbeitet mit Strafverfolgern bei der Untersuchung des Vorfalls zusammen.
Passwörter und private Schlüssel sind laut Coinbase nicht betroffen, auch auf die Einlagen der Kunden konnten die Auftragnehmer und externen Angestellten demnach nicht zugreifen. Allerdings konnten die Täter folgende Daten kopieren: Name, Adresse, Telefon und E-Mail, teilanonymisierte Sozialversicherungsnummer (letzte vier Ziffern erkennbar), anonymisierte Bankkontennummern, Bilder staatlicher Ausweise wie Führerschein oder Pässe, Kontodaten wie Salden-Schnappschüsse und Transaktionsverlauf und in begrenztem Umfang Unternehmensdaten wie Dokumente, Trainingsmaterial und Support-Mitarbeitern zugängliche Kommunikation.
Coinbase will die Anti-Betrugsmaßnahmen verschärfen, um das Risiko einzudämmen, dass die gestohlenen Informationen in Social-Engineering-Angriffen missbraucht werden. "Soweit zugelassene Privatkunden als unmittelbare Folge dieses Vorfalls bereits Gelder an den Bedrohungsakteur überwiesen haben, beabsichtigt das Unternehmen, diese nach Abschluss seiner Überprüfung zur Bestätigung des Sachverhalts freiwillig zu erstatten." Coinbase rechnet mit Kosten des Vorfalls in Höhe von 180 bis 400 Millionen US-Dollar (160 bis 360 Millionen Euro).
Die Meldung kommt zu einem etwas unglücklichen Zeitpunkt. Am kommenden Montag soll Coinbase in den renommierten Index S&P 500 aufgenommen werden. Nach der Ankündigung hatten die Coinbase-Aktien erwartungsgemäß einen Sprung nach oben gemacht. Der IT-Sicherheitsvorfall hat bislang jedoch noch keinerlei Auswirkung auf den Börsenkurs der Kryptobörse.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare