Affaire de violation de données de Coinbase : le centre d'assistance indien et le gang de hackers adolescents
TechFlow SélectionTechFlow Sélection
Affaire de violation de données de Coinbase : le centre d'assistance indien et le gang de hackers adolescents
« Dans ce monde, leur score correspond à la somme d'argent qu'ils ont volée. »
Dédié à des analyses Web3 approfondiesRédaction : Ben Weiss, Jeff John Roberts
Traduction : Luffy, Foresight News
Brian Armstrong, co-fondateur et PDG de Coinbase, prenant la parole lors d'un événement à Bangalore, en Inde, en 2022
Le 15 mai 2025, Coinbase a révélé que les données personnelles de dizaines de milliers de ses clients avaient été volées, marquant ainsi le plus grave incident de sécurité de l'histoire de l'entreprise, qui pourrait entraîner des pertes atteignant 400 millions de dollars. Cette violation de données attire l'attention non seulement par son ampleur, mais aussi par la méthode utilisée par les pirates : soudoyer des agents du service clientèle à l'étranger pour obtenir des informations confidentielles sur les clients.
Coinbase a publiquement annoncé qu'elle offrirait une récompense de 20 millions de dollars à toute personne fournissant des indices permettant l'arrestation et la condamnation des criminels, mais elle a révélé très peu d'informations sur l'identité des attaquants ou les détails de l'attaque.
Une enquête récente menée par le magazine Fortune, incluant l'examen d'e-mails échangés entre Coinbase et un pirate, a mis au jour de nouveaux éléments, suggérant qu'un réseau informel de jeunes pirates anglophones est en partie responsable. Par ailleurs, cette enquête met en lumière les unités BPO (prestataires externes de processus métiers), révélées comme étant un maillon faible dans la sécurité opérationnelle des entreprises technologiques.
Complicité interne : le service client externalisé comme point d'entrée
L'histoire commence par une petite entreprise cotée en bourse située à New Braunfels, au Texas : TaskUs. Comme d'autres sociétés BPO, elle fournit des services clients à bas coût aux grandes entreprises technologiques en employant du personnel à l'étranger. Selon un porte-parole de l'entreprise, en janvier dernier, TaskUs a licencié 226 employés travaillant pour Coinbase depuis son centre de services situé à Indore, en Inde.
D'après des documents déposés auprès de la Securities and Exchange Commission américaine, TaskUs fournit des agents du service client à Coinbase depuis 2017. Ce partenariat a permis à ce géant américain de la cryptomonnaie d'importantes économies sur les coûts salariaux. Cependant, le problème est le suivant : lorsque les clients envoient un e-mail pour poser des questions sur leur compte ou sur un nouveau produit de Coinbase, ils communiquent probablement avec un employé de TaskUs basé à l'étranger. Étant donné que ces agents sont moins bien payés que leurs homologues américains, ils sont plus susceptibles d'être corrompus.
« Début cette année, nous avons découvert que deux individus avaient accédé illégalement aux informations d'un de nos clients », a déclaré le porte-parole de TaskUs en référence à Coinbase, ajoutant : « Nous pensons que ces deux personnes étaient impliquées dans une activité criminelle plus vaste et organisée contre Coinbase, qui a également touché de nombreux autres prestataires de services de Coinbase. »
Selon les documents réglementaires de Coinbase, TaskUs a licencié ces employés en janvier, moins d'un mois après que Coinbase ait découvert le vol de données clients (note : Coinbase avait détecté la fuite dès décembre 2024). Mardi, un procès collectif fédéral intenté à New York au nom des clients de Coinbase accuse TaskUs de négligence dans la protection des données clients. « Bien que nous ne puissions pas commenter cette affaire, nous estimons que ces allégations sont infondées et nous nous défendrons », a déclaré le porte-parole de TaskUs. « La protection des données clients est notre priorité absolue, et nous continuerons à renforcer nos protocoles de sécurité mondiaux et nos programmes de formation. »
Une source proche de l'affaire a indiqué que les pirates ont également réussi à attaquer d'autres sociétés BPO, chaque incident ayant conduit au vol de données différentes.
Ces données volées ne suffisaient pas à permettre aux pirates d'accéder aux coffres-forts cryptographiques de Coinbase, mais elles contenaient suffisamment d'informations pour aider les criminels à se faire passer pour de faux agents du service client et convaincre les clients de leur remettre leurs actifs numériques. L'entreprise affirme que les hackers ont volé les données de plus de 69 000 clients, sans préciser combien d'entre eux sont tombés victimes de ce qu'on appelle des « escroqueries par ingénierie sociale ». Dans cette affaire, l'ingénierie sociale consiste à utiliser les données volées pour se faire passer pour un employé de Coinbase et persuader les victimes de transférer leurs actifs cryptographiques.
Dans un communiqué, Coinbase a déclaré : « Comme nous l'avons déjà indiqué, nous avons récemment découvert qu'un acteur malveillant avait demandé à des agents du service client à l'étranger d'accéder à des informations sur les comptes clients datant de décembre 2024. Nous avons informé les utilisateurs concernés et les autorités réglementaires, rompu tout lien avec les employés de TaskUs impliqués ainsi qu'avec d'autres agents du service client à l'étranger, et renforcé nos contrôles. » Le communiqué ajoute que l'entreprise indemnise les clients ayant perdu des fonds suite à ces fraudes.
Les escroqueries par ingénierie sociale faisant passer les criminels pour des représentants d'une entreprise ne sont pas nouvelles, mais l'ampleur ciblant spécifiquement les sociétés BPO est assez rare. Bien que personne n'ait encore formellement identifié les coupables, plusieurs indices pointent fortement vers un groupe informel composé de jeunes pirates anglophones.
Un gang de jeunes pirates : « Ils viennent des jeux vidéo »
Quelques jours après la divulgation de la violation de données de Coinbase, mi-mai, Fortune a échangé sur Telegram avec un homme se présentant comme « puffy party », affirmant être l'un des pirates.
Deux autres chercheurs en sécurité ayant parlé à ce pirate anonyme confirment à Fortune croire en sa crédibilité. L'un d'eux déclare : « J'ai soigneusement examiné ses déclarations à la lumière des informations qu'il a partagées avec moi, et je n'ai trouvé aucune preuve prouvant qu'il mentait. » Les deux chercheurs ont demandé à rester anonymes, craignant de recevoir des assignations à comparaître en raison de leurs échanges avec un pirate présumé.
Au cours des échanges, cet homme a partagé de nombreuses captures d'écran, affirmant qu'il s'agissait de courriels échangés avec l'équipe de sécurité de Coinbase. Le nom qu'il utilisait pour communiquer avec Coinbase était « Lennard Schroeder ». Il a également partagé une capture d'écran d'un compte appartenant à un ancien cadre supérieur de Coinbase, affichant des transactions cryptographiques et de nombreuses informations personnelles détaillées.
Coinbase n'a pas nié l'authenticité de ces captures d'écran.
Les courriels partagés par ce supposé pirate incluaient des menaces de rançon de 20 millions de dollars en Bitcoin (que Coinbase a refusé de payer), ainsi que des commentaires moqueurs selon lesquels le gang utiliserait une partie du butin pour acheter des cheveux à Brian Armstrong, le PDG chauve de l'entreprise. « Nous sommes prêts à parrainer une greffe capillaire, afin qu'il puisse voyager fièrement autour du monde », a écrit le pirate.
Dans les messages Telegram, cet individu (dont l'existence a été confirmée à Fortune par un chercheur en sécurité) exprimait son mépris envers Coinbase.
Bien que de nombreux vols de cryptomonnaies soient généralement perpétrés par des gangs criminels russes ou militaires nord-coréens, cette attaque aurait été menée par un réseau informel de jeunes adolescents et de personnes dans la vingtaine connus sous le nom de « Comm » ou « Com ».
Au cours des deux dernières années, des rapports sur le groupe Comm sont apparus dans divers médias relatant d'autres cyberattaques, notamment un article du New York Times publié plus tôt ce mois-ci, dans lequel un suspect accusé d'une série de vols de cryptomonnaies s'est présenté comme membre de cette organisation. Selon le Wall Street Journal, en 2023, des enquêteurs ont attribué à ce groupe un piratage visant plusieurs casinos en ligne de Las Vegas, tentant ensuite d'extorquer 30 millions de dollars à MGM Resorts.
Contrairement aux pirates russes ou nord-coréens, dont le seul objectif est généralement l'argent, les membres du groupe Comm cherchent souvent à attirer l'attention et prennent plaisir aux farces. Ils collaborent parfois sur des attaques, mais peuvent aussi rivaliser entre eux pour savoir qui réussira à voler le plus.
« Ils viennent des jeux vidéo, puis rapportent leurs scores dans le monde réel », explique Josh Cooper-Duckett, directeur des enquêtes chez Cryptoforensic Investigators, une société spécialisée en forensic cryptographique. « Dans ce monde-là, leur score, c’est le montant qu’ils ont volé. »
Dans les messages Telegram, le soi-disant pirate affirme que les membres de Comm se spécialisent dans différents aspects du vol. Son équipe soudoie les agents du service client et collecte les données des clients, puis transmet ces données à d'autres personnes extérieures au groupe, experts en escroqueries par ingénierie sociale. Il ajoute que différents groupes affiliés à Comm coordonnent sur des plateformes sociales comme Telegram et Discord les différentes étapes de leurs opérations, ainsi que la répartition du butin.
Sergio Garcia, fondateur de la société d'enquête Tracelon, affirme à Fortune que la description de l'attaque contre Coinbase correspond à ses observations sur le fonctionnement du groupe Comm et d'autres escroqueries cryptographiques par ingénierie sociale. Des sources indiquent que récemment, les personnes impliquées dans ces attaques par ingénierie sociale parlaient un anglais nord-américain parfait.
Un informateur connaissant les salaires des employés BPO a indiqué que les employés indiens de TaskUs gagnaient entre 500 et 700 dollars par mois. TaskUs a refusé de commenter. Garcia explique à Fortune que bien que ce salaire soit supérieur au PIB par habitant en Inde, les bas salaires des agents du service client rendent ceux-ci particulièrement vulnérables aux pots-de-vin. « De toute évidence, c'est l'émaillon le plus faible de la chaîne, car ils ont une motivation économique à accepter des dessous-de-table », ajoute-t-il.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@FortuneMagazine
