Coinbase conferma un data leak: social engineering, insider e ricatti milionari

Luca Stivali : 18 Maggio 2025 07:41

Il 14 maggio 2025 Coinbase, una delle più grandi piattaforme di crypto trading al mondo, ha confermato pubblicamente di essere stata vittima di un sofisticato attacco interno orchestrato da cyber criminali che hanno corrotto alcuni operatori del supporto clienti. La notizia è stata accompagnata da una dichiarazione ufficiale sul blog aziendale e da una comunicazione formale alla U.S. Securities and Exchange Commission (SEC), come previsto per eventi che possono influenzare significativamente gli investitori e il mercato.

Insiders: un’attacco tutt’altro che tecnologico

Nel post dal titolo “Protecting Our Customers – Standing Up to Extortionists”, Coinbase afferma che un gruppo di criminali informatici ha reclutato e corrotto operatori di supporto esterni, in particolare all’estero, per ottenere accesso ai sistemi interni. Utilizzando tali accessi, gli attaccanti hanno sottratto dati sensibili di un “piccolo sottoinsieme” di utenti per facilitare attacchi di social engineering.

Nessuna password, chiave privata o fondi è stata compromessa – precisa l’azienda – e gli account Coinbase Prime sono rimasti intatti.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tuttavia, i dati sottratti sono stati sufficienti per permettere agli attori malevoli di ingannare alcuni utenti e estorcere fondi, attivando così un attacco a catena che ricalca le modalità degli attacchi orchestrati da gruppi come Scattered Spider e LAPSUS$.

Un ransomware mancato: rifiutato riscatto da 20 milioni di dollari

Coinbase ha anche rivelato di aver ricevuto una richiesta di riscatto da 20 milioni di dollari, che ha categoricamente rifiutato. Al contrario, l’azienda ha annunciato la creazione di un fondo premio da 20 milioni di dollari per chi fornirà informazioni utili all’identificazione, arresto e condanna dei responsabili.

Una mossa netta e simbolica, che posiziona Coinbase come un attore attivo nella lotta alla cyber-estorsione, scegliendo il confronto anziché la sottomissione.

Nel documento ufficiale pubblicato sul sito della SEC (Form 8-K), Coinbase specifica che:

• L’incidente ha coinvolto un sottoinsieme limitato di clienti.
• L’attacco è partito da attività illecite condotte da soggetti terzi esterni legati al customer support.
• Non sono stati compromessi né asset finanziari né infrastrutture critiche.
• L’azienda sta collaborando con forze dell’ordine e team di esperti forensi.
• Nessun impatto materiale previsto sulle operazioni aziendali o sulla sicurezza dei fondi.

L’incidente rientra in un trend preoccupante nel panorama cyber globale: l’uso di insider compromessi per bypassare i sistemi di sicurezza più sofisticati. È lo stesso schema adottato negli attacchi subiti da LastPass, Uber, e più recentemente da Microsoft, con attori che sfruttano l’anello debole della catena umana piuttosto che le vulnerabilità tecniche.

Sebbene Coinbase abbia dimostrato trasparenza e fermezza nella gestione della crisi, l’episodio rappresenta l’ennesima dimostrazione che nessuna piattaforma – per quanto blindata – è immune all’errore umano o al tradimento interno.

In un settore già sotto scrutinio per volatilità e regolamentazione incerta, episodi come questo contribuiscono ad alimentare diffidenza e ad aumentare la pressione su exchange e operatori del settore affinché rafforzino le difese sociali, non solo quelle digitali.

Fonti:

• Coinbase – Protecting Our Customers – Standing Up to Extortionists
• SEC – Form 8-K Coinbase, Inc. (May 14, 2025)

Luca Stivali
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Lista degli articoli