Certe volte per hackerare una piattaforma digitale bastano mezzi molto antichi, come la corruzione. È successo a Coinbase, che lo scorso maggio si è trovata al centro di una storia alquanto curiosa.
L'11 maggio 2024, la celebre piattaforma di scambio di criptovalute ha ricevuto un'email da parte di ignoti cybercriminali che rivendicavano il possesso di documenti interni relativi al sistema di assistenza clienti e informazioni personali di oltre 70.000 utenti. La conferma ufficiale è arrivata tre giorni dopo attraverso un rapporto 8-K presentato alla Securities and Exchange Commission americana, segnando l'inizio di una crisi che avrebbe messo alla prova non solo la sicurezza tecnica dell'azienda, ma anche la sua capacità di gestire una situazione di ricatto su scala internazionale.
Un data leak da manuale? Non proprio, perché i criminali non hanno usato malware né rubato credenziali con il phising o tecniche simili.
Invece, gli attaccanti, presumibilmente collegati a gruppi di hacker motivati finanziariamente come "The Com", "Scattered Spider" o "ShinyHunters", avevano orchestrato una campagna di corruzione mirata ai dipendenti di TaskUS, una società di outsourcing indiana che gestiva il supporto clienti per Coinbase nella città di Indore. La proposta era tanto semplice quanto allettante: fino a 2.500 dollari per persona in cambio della copia di dati dal sistema di assistenza clienti.
Un'operazione mai vista prima
Il Chief Security Officer di Coinbase, Philip Martin, ha descritto l'episodio come "il primo caso di tentativi di corruzione così prolungati, mirati e con cifre così elevate" mai osservato nella sua carriera. Gli hacker non si sono limitati a un approccio sporadico, ma hanno condotto una vera e propria campagna di reclutamento tra i dipendenti esterni, aumentando progressivamente le somme offerte nel corso del tempo.
Le informazioni sottratte includevano dati di contatto, numeri di previdenza sociale, informazioni sui conti e alcuni dettagli parzialmente oscurati sui conti bancari di circa l'1% della clientela mensile attiva di Coinbase. Fortunatamente, le credenziali di accesso, le chiavi private e l'accesso diretto ai portafogli digitali sono rimasti al sicuro, limitando i potenziali danni finanziari diretti.
Di fronte alla richiesta di riscatto di 20 milioni di dollari, Coinbase ha adottato una strategia tanto coraggiosa quanto inusuale: ha rifiutato categoricamente il pagamento e ha offerto la stessa cifra come taglia per la cattura dei responsabili. Martin ha spiegato questa scelta con parole che richiamano principi fondamentali della sicurezza nazionale: "Non diamo denaro ai terroristi". La motivazione va oltre il semplice principio etico, basandosi sulla convinzione che pagare non avrebbe garantito la cancellazione dei dati e avrebbe solo finanziato futuri attacchi.
La risposta dell'azienda è stata rapida e multiforme: licenziamento immediato dei dipendenti coinvolti, denuncia alle autorità americane e internazionali, interruzione delle operazioni presso la struttura di TaskUS (che ha poi licenziato 226 dipendenti), e l'implementazione di misure compensative per i clienti colpiti. I costi stimati per il recupero e i risarcimenti oscillano tra 180 milioni e 400 milioni di dollari. Pagare sarebbe stato molto più economico, ma non necessariamente la scelta migliore.
Una minaccia globale senza confini geografici
L'episodio Coinbase non rappresenta un caso isolato nel panorama della sicurezza informatica aziendale. Nel 2020, un hacker russo aveva proposto un milione di dollari a un dipendente Tesla in Nevada per installare un ransomware nei sistemi dell'azienda automobilistica. Succede relativamente spesso, perché la corruzione resta - da sempre - uno strumento potente nelle mani dei criminali.
Greg Linares, analista senior di Huntress, sottolinea un aspetto cruciale: la minaccia non è limitata geograficamente. Anche un dipendente IT di un paese sviluppato, con uno stipendio di 60.000 dollari annui, potrebbe essere tentato da un'offerta che gli garantisca l'equivalente di otto anni di salario per quindici minuti di lavoro. Questa realtà costringe le aziende a ripensare completamente le loro strategie di sicurezza.
Jack Edwards di Silent Push evidenzia la necessità di estendere la formazione sulla sicurezza oltre i tradizionali tentativi di phishing. I team di assistenza clienti di settori come aviazione, assicurazioni e retail devono essere preparati non solo a riconoscere tentativi illegali di reset delle password, ma anche a gestire proposte di corruzione e a seguire procedure di escalation appropriate.
Martin conclude con una riflessione che riassume perfettamente la sfida moderna della cybersecurity: "Non importa quanto sia solida la tua sicurezza, gli attaccanti troveranno sempre un modo per aggirarla - dall'alto, dal basso, di lato, da qualche parte". Citando il pugile Mike Tyson, aggiunge: "Tutti hanno un piano, finché non prendono un pugno in faccia".
.jpg)
