Vụ rò rỉ dữ liệu Coinbase: Trung tâm dịch vụ khách hàng tại Ấn Độ và băng nhóm tin tặc tuổi teen
Tuyển chọn TechFlowTuyển chọn TechFlow
Vụ rò rỉ dữ liệu Coinbase: Trung tâm dịch vụ khách hàng tại Ấn Độ và băng nhóm tin tặc tuổi teen
“Trong thế giới này, điểm số của họ chính là số tiền mà họ đã đánh cắp.”
Chuyên sâu báo cáo Web3Bài viết: Ben Weiss, Jeff John Roberts
Biên dịch: Luffy, Foresight News
Người đồng sáng lập và CEO Coinbase Brian Armstrong phát biểu tại một sự kiện ở Bangalore, Ấn Độ năm 2022
Ngày 15 tháng 5 năm 2025, Coinbase tiết lộ dữ liệu cá nhân của hàng chục nghìn khách hàng đã bị đánh cắp — sự cố an ninh lớn nhất trong lịch sử công ty, dự kiến gây thiệt hại lên tới 400 triệu USD. Vụ rò rỉ dữ liệu này không chỉ đáng chú ý vì quy mô mà còn do phương thức tấn công của tin tặc: hối lộ nhân viên chăm sóc khách hàng nước ngoài để lấy thông tin bí mật của khách hàng.
Coinbase công khai tuyên bố sẽ thưởng 20 triệu USD cho người cung cấp thông tin giúp bắt giữ và kết án tội phạm, nhưng lại tiết lộ rất ít về danh tính kẻ tấn công hoặc chi tiết vụ xâm nhập.
Một cuộc điều tra gần đây của tạp chí Fortune, bao gồm việc xem xét các email giữa Coinbase và một tin tặc, đã làm rõ thêm những chi tiết mới, ám chỉ rằng một mạng lưới lỏng lẻo gồm các tin tặc trẻ tuổi nói tiếng Anh là một phần chịu trách nhiệm. Đồng thời, kết quả điều tra cũng làm nổi bật thực tế rằng các đơn vị BPO (Business Process Outsourcing - gia công quy trình kinh doanh) chính là điểm yếu trong hoạt động an ninh của các công ty công nghệ.
Tội phạm nội bộ: Nhân viên chăm sóc khách hàng thuê ngoài trở thành điểm đột nhập
Câu chuyện bắt đầu từ một công ty nhỏ niêm yết tại New Braunfels, bang Texas – TaskUs. Giống như các công ty BPO khác, công ty này thuê nhân viên nước ngoài để cung cấp dịch vụ chăm sóc khách hàng với chi phí thấp cho các công ty công nghệ lớn. Theo phát ngôn viên công ty, vào tháng 1 năm nay, TaskUs đã sa thải 226 nhân viên tại trung tâm phục vụ ở Indore, Ấn Độ, những người đang làm việc cho Coinbase.
Theo hồ sơ nộp cho Ủy ban Chứng khoán Mỹ (SEC), từ năm 2017, TaskUs đã cung cấp nhân viên chăm sóc khách hàng cho Coinbase – mối hợp tác giúp gã khổng lồ tiền mã hóa Mỹ tiết kiệm đáng kể chi phí lao động. Nhưng vấn đề nằm ở chỗ: khi khách hàng gửi email hỏi về tài khoản hay sản phẩm mới của Coinbase, họ có khả năng đang trò chuyện với nhân viên TaskUs ở nước ngoài. Vì mức lương của các đại diện này thấp hơn nhân viên trong nước, họ dễ bị hối lộ hơn.
“Đầu năm nay, chúng tôi phát hiện hai cá nhân đã truy cập bất hợp pháp vào thông tin của một khách hàng,” phát ngôn viên TaskUs nói với Fortune khi nhắc đến Coinbase. “Chúng tôi cho rằng hai người này là một phần của một chiến dịch phạm tội có tổ chức rộng rãi hơn nhắm vào Coinbase, chiến dịch này cũng ảnh hưởng đến nhiều nhà cung cấp khác mà Coinbase sử dụng dịch vụ.”
Theo hồ sơ quản lý của Coinbase, TaskUs sa thải nhân viên vào tháng 1, chưa đầy một tháng sau khi Coinbase phát hiện dữ liệu khách hàng bị đánh cắp (ghi chú: Coinbase đã phát hiện rò rỉ dữ liệu từ tháng 12/2024). Vào thứ Ba, một vụ kiện tập thể liên bang được đệ đơn tại New York thay mặt khách hàng Coinbase cáo buộc TaskUs thiếu sót trong việc bảo vệ dữ liệu khách hàng. “Mặc dù chúng tôi không thể bình luận về vụ kiện, nhưng chúng tôi cho rằng các cáo buộc này không có cơ sở và sẽ tự bào chữa,” phát ngôn viên TaskUs cho biết. “Việc bảo vệ dữ liệu khách hàng luôn là ưu tiên hàng đầu của chúng tôi, và chúng tôi sẽ tiếp tục tăng cường các giao thức an ninh toàn cầu và chương trình đào tạo.”
Một nguồn tin am hiểu sự cố an ninh cho biết tin tặc còn thành công trong việc tấn công một số công ty BPO khác, và bản chất dữ liệu bị đánh cắp trong mỗi sự kiện là khác nhau.
Dữ liệu bị đánh cắp không đủ để tin tặc xâm nhập vào kho lưu trữ tiền mã hóa của Coinbase, nhưng cung cấp lượng thông tin phong phú giúp tội phạm giả dạng nhân viên hỗ trợ Coinbase, liên hệ với khách hàng và thuyết phục họ giao nộp tài sản mã hóa. Công ty cho biết tin tặc đã đánh cắp dữ liệu của hơn 69.000 khách hàng, nhưng không nói rõ có bao nhiêu người trong số đó trở thành nạn nhân của các vụ lừa đảo kỹ thuật xã hội. Trong vụ việc này, lừa đảo kỹ thuật xã hội liên quan đến việc tội phạm sử dụng dữ liệu bị đánh cắp để mạo danh nhân viên Coinbase, thuyết phục nạn nhân chuyển tài sản mã hóa của họ.
Coinbase cho biết trong một tuyên bố: “Như chúng tôi đã công bố, gần đây chúng tôi phát hiện một đối tượng đe dọa đã yêu cầu nhân viên chăm sóc khách hàng nước ngoài truy cập thông tin tài khoản khách hàng từ tháng 12/2024. Chúng tôi đã thông báo cho người dùng bị ảnh hưởng và các cơ quan quản lý, ngắt liên lạc với các nhân viên TaskUs và các nhân viên chăm sóc khách hàng nước ngoài liên quan, đồng thời tăng cường kiểm soát.” Tuyên bố cũng bổ sung rằng công ty đang bồi thường cho khách hàng bị mất tiền trong các vụ lừa đảo.
Các vụ lừa đảo kỹ thuật xã hội bằng cách mạo danh đại diện công ty không phải mới, nhưng quy mô tin tặc nhắm vào các công ty BPO thì khá hiếm thấy. Mặc dù chưa có ai bị xác định rõ ràng là thủ phạm, nhưng một số manh mối mạnh mẽ chỉ đến một tổ chức lỏng lẻo gồm các tin tặc trẻ tuổi nói tiếng Anh.
Băng nhóm tin tặc trẻ tuổi: “Họ xuất phát từ trò chơi điện tử”
Một vài ngày sau khi vụ rò rỉ dữ liệu Coinbase được tiết lộ vào giữa tháng 5, Fortune đã trao đổi với một người đàn ông tự xưng là “puffy party” trên Telegram, người này tuyên bố mình là một trong những tin tặc.
Hai nhà nghiên cứu an ninh khác từng nói chuyện với tin tặc ẩn danh này cũng nói với Fortune rằng họ tin người này là thật. Một người nói: “Dựa trên những gì anh ấy chia sẻ với tôi, tôi đã cân nhắc kỹ lưỡng lời khai của anh ấy và không thể tìm thấy bằng chứng nào cho thấy anh ta đang nói dối.” Cả hai nhà nghiên cứu đều yêu cầu giấu tên vì lo ngại có thể bị gọi ra hầu tòa do từng nói chuyện với tin tặc bị nghi ngờ.
Trong cuộc trao đổi, người đàn ông này chia sẻ nhiều ảnh chụp màn hình, khẳng định là thư điện tử trao đổi với đội an ninh Coinbase. Tên anh ta sử dụng khi liên hệ với Coinbase là “Lennard Schroeder”. Anh ta cũng chia sẻ một ảnh chụp tài khoản thuộc về một cựu lãnh đạo Coinbase, cho thấy các giao dịch mã hóa và nhiều thông tin cá nhân chi tiết.
Coinbase không phủ nhận tính xác thực của các ảnh chụp màn hình này.
Các email do người tự xưng là tin tặc chia sẻ bao gồm cả lời đe dọa tống tiền 20 triệu USD bằng Bitcoin (Coinbase từ chối thanh toán), cùng những bình luận chế giễu rằng băng nhóm sẽ dùng một phần tiền ăn cắp để mua tóc giả cho CEO trọc đầu Brian Armstrong. “Chúng tôi sẵn sàng tài trợ phẫu thuật cấy tóc để ông ấy có thể ung dung du lịch khắp thế giới,” tin tặc viết.
Trong các tin nhắn Telegram, người này (mà Fortune biết đến qua một nhà nghiên cứu an ninh) thể hiện sự coi thường sâu sắc đối với Coinbase.
Nhiều vụ cướp tiền mã hóa trước đây do các băng nhóm tội phạm Nga hoặc quân đội Triều Tiên thực hiện, nhưng vụ tấn công lần này được cho là do một liên minh lỏng lẻo gồm các thanh thiếu niên và những người độ tuổi 20, được gọi là “Comm” hoặc “Com”, thực hiện.
Trong hai năm qua, các báo cáo về băng nhóm Comm đã xuất hiện trong truyền thông liên quan đến các sự kiện hacker khác, bao gồm bài viết của New York Times hồi đầu tháng này, trong đó một nghi phạm bị tình nghi thực hiện hàng loạt vụ trộm tiền mã hóa tự nhận là thành viên của tổ chức này. Theo Wall Street Journal, vào năm 2023, các điều tra viên xác định các tin tặc thuộc nhóm này đã tấn công vào các sòng bạc trực tuyến tại Las Vegas và cố gắng tống tiền MGM Resorts 30 triệu USD.
Khác với các tin tặc tiền mã hóa Nga và Triều Tiên thường chỉ theo đuổi tiền bạc, các thành viên Comm vừa muốn thu hút sự chú ý, vừa tìm kiếm cảm giác vui thích từ trò đùa. Họ đôi khi hợp tác trong các vụ tấn công, nhưng cũng cạnh tranh lẫn nhau xem ai lấy được nhiều hơn.
“Họ xuất phát từ các trò chơi điện tử, rồi mang bảng điểm cao xuống thế giới thực,” Josh Cooper-Duckett, Giám đốc điều tra của công ty điều tra pháp y mã hóa Cryptoforensic Investigators, nói. “Ở thế giới đó, điểm số của họ chính là số tiền họ ăn cắp được.”
Trong các tin nhắn Telegram, tin tặc tự xưng này cho biết các thành viên Comm phụ trách các khâu khác nhau trong vụ cướp. Nhóm của anh ta hối lộ nhân viên chăm sóc khách hàng và thu thập dữ liệu khách hàng, sau đó chuyển dữ liệu cho những người khác bên ngoài nhóm chuyên về lừa đảo kỹ thuật xã hội. Anh ta bổ sung rằng các nhóm phụ thuộc khác nhau của Comm phối hợp trên các nền tảng xã hội như Telegram và Discord để thực hiện các phần hành động khác nhau và phân chia tiền ăn cắp.
Sergio Garcia, người sáng lập công ty điều tra mã hóa Tracelon, nói với Fortune rằng mô tả của tin tặc về vụ tấn công Coinbase phù hợp với quan sát của ông về cách thức hoạt động của băng nhóm Comm và các vụ lừa đảo kỹ thuật xã hội mã hóa khác. Các nguồn tin cho biết gần đây những người thực hiện các vụ lừa đảo kỹ thuật xã hội với khách hàng nói tiếng Anh Bắc Mỹ rất chuẩn.
Theo một nguồn tin am hiểu về mức lương nhân viên BPO, mức lương hàng tháng của nhân viên TaskUs tại Ấn Độ dao động từ 500 đến 700 USD. TaskUs từ chối bình luận. Garcia nói với Fortune rằng mặc dù con số này cao hơn GDP bình quân đầu người của Ấn Độ, nhưng mức lương thấp khiến nhân viên chăm sóc khách hàng dễ dàng chấp nhận hối lộ hơn. “Rõ ràng, đây là mắt xích yếu nhất trong chuỗi, bởi họ có động cơ kinh tế để nhận hối lộ,” ông nói thêm.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@FortuneMagazine
