Coinbase telah mengkonfirmasi pelanggaran orang dalam setelah kontraktor mengakses data sekitar tiga puluh pelanggan secara tidak benar, yang menurut BleepingComputer adalah insiden baru yang terjadi pada bulan Desember.
“Tahun lalu tim keamanan kami mendeteksi bahwa satu kontraktor Coinbase mengakses informasi pelanggan secara tidak benar, sehingga berdampak pada sejumlah kecil pengguna (sekitar 30),” kata juru bicara Coinbase kepada BleepingComputer.
“Individu tersebut tidak lagi melakukan layanan untuk Coinbase. Kami memberi tahu pengguna yang terkena dampak tahun lalu dan diberikan layanan perlindungan pencurian identitas serta panduan lainnya. Kami juga telah mengungkapkan insiden ini kepada regulator terkait, seperti praktik standar.”
BleepingComputer telah mengetahui bahwa ini adalah pelanggaran orang dalam yang baru terungkap dan tidak terkait dengan pengungkapan sebelumnya Pelanggaran orang dalam TaskUs pada bulan Januari 2025.
Pernyataan ini muncul setelah pelaku ancaman yang dikenal sebagai “Pemburu Lapsus Tersebar” (SLH) secara singkat memposting tangkapan layar antarmuka dukungan internal Coinbase di Telegram dan kemudian menghapus postingan tersebut segera setelahnya.
Tangkapan layar menunjukkan panel dukungan yang memberikan akses ke informasi pelanggan, termasuk alamat email, nama, tanggal lahir, nomor telepon, informasi KYC, saldo dompet mata uang kripto, dan transaksi.
Bukan hal yang aneh jika tangkapan layar dan data yang dicuri disebarkan ke berbagai pelaku ancaman sebelum dibocorkan atau diungkapkan, sehingga tidak jelas apakah kelompok ini berada di balik pelanggaran orang dalam atau apakah pelaku ancaman lain yang melakukannya.
Namun, ancaman yang sama juga diklaim dimiliki oleh para pelaku sebelumnya menyuap orang dalam di CrowdStrike untuk berbagi tangkapan layar aplikasi internal.
BPO diserang
Selama beberapa tahun terakhir, perusahaan Business Process Outsourcing (BPO) semakin menjadi sasaran pelaku ancaman yang mencari akses ke data pelanggan, alat internal, atau jaringan perusahaan.
Perusahaan Pengalihdayaan Proses Bisnis (BPO) adalah perusahaan pihak ketiga yang melakukan tugas operasional untuk organisasi lain. Tugas-tugas ini biasanya mencakup dukungan pelanggan, verifikasi identitas, layanan meja bantuan TI, dan manajemen akun.
Karena karyawan BPO sering kali memiliki akses ke sistem internal dan informasi pelanggan yang sensitif, mereka telah menjadi target penyerang yang bernilai tinggi.
Pada tahun lalu, pelaku ancaman telah mengeksploitasi BPO dengan menyuap orang dalam yang memiliki akses sah, staf pendukung rekayasa sosial untuk memberikan akses tidak sah, dan menyuap akun karyawan BPO untuk menjangkau sistem internal.
Seperti yang kita lihat pada Coinbase tahun ini, salah satu cara BPO ditargetkan adalah dengan menyuap karyawannya untuk mencuri atau berbagi informasi pelanggan.
Coinbase mengungkapkan pelanggaran data serupa tahun lalu, kemudian dikaitkan dengan perwakilan dukungan pelanggan eksternal yang dipekerjakan oleh TaskUs, sebuah perusahaan outsourcing yang menyediakan layanan ke pertukaran kripto.
Taktik umum lainnya adalah serangan rekayasa sosial terhadap TI dan bagian dukungan yang dialihdayakan, di mana pelaku ancaman menyamar sebagai karyawan dan menghubungi saluran bantuan BPO untuk mendapatkan akses ke sistem internal perusahaan.
Dalam salah satu kasus yang paling menonjol, penyerang menyamar sebagai karyawan dan meyakinkan agen dukungan help desk Cognizant untuk memberi mereka akses ke akun karyawan Clorox, sehingga memungkinkan mereka untuk menembus jaringan perusahaan. Insiden tersebut kemudian menjadi fokus a Gugatan $380 juta oleh Clorox melawan Cognizant.
Google juga melaporkan pelaku ancaman itu menargetkan perusahaan asuransi AS dalam serangan rekayasa sosial terhadap pusat bantuan yang dialihdayakan untuk mendapatkan akses ke sistem internal.
Pengecer juga mengonfirmasi bahwa serangan rekayasa sosial terhadap personel pendukung memungkinkan terjadinya serangan ransomware dan pencurian data.
Marks & Spencer membenarkan hal tersebut penyerang menggunakan rekayasa sosial untuk menembus jaringannyaketika Koperasi mengungkap pencurian data menyusul serangan ransomware yang juga menyalahgunakan akses staf dukungan.
Menanggapi serangan terhadap perusahaan ritel M&S dan Co-op, Pemerintah Inggris mengeluarkan panduan tentang serangan rekayasa sosial terhadap pusat bantuan dan BPO.
Dalam beberapa kasus, peretas menargetkan akun karyawan BPO itu sendiri untuk mendapatkan akses ke data pelanggan yang mereka kelola.
Pada bulan Oktober, Discord mengungkapkan pelanggaran data yang diduga mengekspos data dari 5,5 juta pengguna unik setelah sistem pendukung Zendesk-nya disusupi.
Meskipun perusahaan tidak mengkonfirmasi bagaimana contohnya dilanggar, pelaku ancaman mengatakan kepada BleepingComputer bahwa mereka menggunakan akun yang disusupi milik agen dukungan yang dipekerjakan oleh penyedia proses bisnis outsourcing (BPO) yang dialihdayakan. Dengan menggunakan akun ini, mereka mengunduh data pelanggan Discord.
Penyalahgunaan berulang terhadap penyedia dukungan outsourcing ini menunjukkan bagaimana pelaku ancaman semakin banyak yang mengabaikan eksploitasi kerentanan dan malah menargetkan perusahaan pihak ketiga yang memiliki akses ke jaringan dan data perusahaan.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
