Vol de données clients chez Coinbase par des agents de support compromis

️ Résumé d’incident – Coinbase (15 mai 2025)

Ce billet est une traduction et synthèse du post officiel publié par Coinbase intitulé
“Protecting Our Customers - Standing Up to Extortionists”.

Il détaille une tentative d’extorsion à 20 millions de dollars suite à une fuite de données clients impliquant des agents de support compromis à l’étranger.

Coinbase refuse de céder au chantage et crée un fonds de récompense de 20 millions pour aider à identifier les criminels. Aucun mot de passe, clé privée ni fonds n’ont été compromis, et les clients touchés seront remboursés s’ils ont transféré des fonds suite à une escroquerie.

En mai 2025, Coinbase a révélé avoir été la cible d’une tentative d’extorsion après qu’un groupe de cybercriminels a réussi à corrompre des agents de support externalisés. Ces insiders ont exfiltré les données personnelles d’un petit nombre de clients (moins de 1 % des utilisateurs mensuels actifs), comprenant noms, adresses, e-mails, extraits de transactions et images de pièces d’identité. Aucun mot de passe, code 2FA, clé privée ou accès aux fonds n’a été compromis, et les comptes professionnels (Coinbase Prime) n’ont pas été affectés.

Les attaquants ont utilisé ces données pour mener des attaques de social engineering ciblées, incitant certaines victimes à transférer des fonds. Coinbase a reçu une demande de rançon de 20 millions de dollars, qu’elle a refusée. À la place, la société a annoncé la création d’un fonds de récompense de 20 millions de dollars pour toute information menant à l’arrestation des auteurs. Elle coopère activement avec les forces de l’ordre et a renforcé sa surveillance interne et ses mécanismes de détection des menaces internes.

Enfin, Coinbase a mis en place de nouvelles mesures de protection : vérifications renforcées sur les comptes à risque, sensibilisation aux escroqueries, et déploiement d’un nouveau centre de support aux États-Unis. La plateforme s’engage à rembourser les clients ayant été abusés suite à cette attaque, tout en rappelant qu’elle ne demandera jamais à ses utilisateurs de transmettre des codes de sécurité ou de déplacer leurs fonds vers d’autres portefeuilles.

🔗 Source originale : https://www.coinbase.com/blog/protecting-our-customers-standing-up-to-extortionists