مطابق گزارش سایت «کریپتو اسلیت» و اطلاعاتی که خبرگزاری «رویترز» بعد از بررسی ایمیلهای سازمانی صرافی کوین بیس و مصاحبه با منابع خبری آگاه به دست آورده است؛ این صرافی از ژانویه ۲۰۲۵ به این طرف از سرقت دادههای دههزار نفر از مشتریان از طریق یکی از بازوهای خارجی این شرکت اطلاع داشته و بهمدت ۴ ماه سعی کرده است این خبر را از چشم کاربران و مراجع قانونی پنهان نگه دارد.
ظاهراً این افشاگری بعد از اعلام رسمی قطع همکاری کوین بیس با شرکت «TakeUs»، یکی از شرکتهای مسئول برونسپاری پروژههای این صرافی، صورت گرفته است. بنابراین گزارش، یکی از کارمندان بخش پشتیبانی تلفنی این شرکت در کشور هند بعد از دریافت رشوه از صفحه اطلاعات هویتی (KYC) کاربران عکسبرداری کرده است و آنها را در اختیار هکرها قرار داده است.
در این حمله نام، نشانی، تیکتهای پشتیبانی و بخشی از کد ملی حدود ۷۰ هزار نفر از مشتریان این صرافی بزرگ آمریکایی به سرقت رفت. صرافی کوین بیس در بیانیهای که ماه گذشته منتشر کرد به سرمایهگذاران خود هشدار داد که جبران خسارات و شکایتهای حقوقی احتمالی مشتریان بین ۱۸۰ تا ۴۰۰ میلیون دلار هزینه خواهد داشت.
صرافی «کوین بیس» ادعا کرده است که آنها بلافاصله بعد از اطلاع از خرابکاری این پیمانکار، دسترسیهای آنها را محدود کردهاند و در حال بالابردن سطح کنترل و نظارت خود بر این شرکتها هستند. سخنگوی شرکت «TakeUs» هم ضمن تأیید اینکه بعد از انتشار خبر این حمله از سوی «کوین بیس» در ماه ژانویه، این شرکت دویست نفر از کارکنان خود در شهر ایندور هند را اخراج کرده است، تأکید کرد که آنها «بلافاصله» این موضوع را به کوین بیس اطلاع دادهاند.
طبق قانون جدید «حوادث سایبری» کمیسیون بورس و ارواق بهادار (SEC)، شرکتهای سهامی عام باید حداکثر ظرف ۴ روز کاری بعد از تشخیص این نوع حوادث با ارسال یک گزارش رسمی آن را اعلام کنند. گرچه در گزارش ماه می صرافی کوین بیس به «دسترسیهای بدون مجوز در چند ماه گذشته» اشاره شده است، هیچ اثری از هشدار ماه ژانویه شرکت «TakeUs» در این مقاله به چشم نمیخورد.
در دادخواست جمعی که روز دوشنبه در دادگاه ناحیه شرقی ایالت پنسیلوانیا به ثبت رسید، صرافی کوین بیس متهم شده است که از ارائه «اخبار منفی این حادثه» به مشتریان (اخباری که میتوانست بر قیمت سهام این شرکت تأثیرگذار باشد)، خودداری کرده است. البته طی همان روز یک دادخواست مجزای دیگر هم در دادگاه ناحیه منهتن نیویورک به ثبت رسید که در آن از شرکت «TakeUs» به اتهام «سهلانگاری» شکایت شده است.
در اسناد دادگاه به یک باند کوچک خلافکار اشاره شده است که با پرداخت پول به کارکنان بخش پشتیبانی از آنها خواسته بود که از صفحه اطلاعات کاربران عکس بگیرند. در ماه مارس اوضاع وخیمتر شد و اطلاعات کاربران در کانالهای تلگرامی که در زمینه کلاهبرداریهای موسوم به «سلاخی خوک» (pig-butchering) فعالیت داشتند، به فروش گذاشته شد.
در تاریخ ۱۱ می ۲۰۲۵ (۲۱ اردیبهشت ۱۴۰۴) هکرها که دیگر کار خود را تمامشده میدانستند، با ارسال ایمیلی به صرافی کوین بیس اطلاع دادند که حاضرند در ازای دریافت ۲۰ میلیون دلار این دادهها از بین ببرند؛ اما این صرافی ضمن رد این پیشنهاد در اقدامی جسورانه، ۲۰ میلیارد دلار برای شناسایی و دستگیری آنها جایزه تعیین کرد.
شرکت «TakeUs» از سال ۲۰۰۸ در زمینه ارائه خدمات پشتیبانی تلفنی به شرکتهای فناوری، از جمله شرکتهای بزرگی مانند «Meta» و «DoorDash»، فعالیت میکند و ارزش آن در حال حاضر معادل ۱/۵ میلیارد دلار برآورد میشود. البته مشاوران امنیتی قبلاً بارها هشدار داده بودند که برونسپاری خدمات مرتبط به دادههای هویتی مشتریان به شرکتهایی که حقوق پایینی به کارکنان خود پرداخت میکنند، ریسک دریافت رشوه توسط آنها را افزایش خواهد داد.
این روزها نفوذ به سیستمهای رمزنگاری قدرتمند شرکتهای حوزه فناوری و عبور از لایههای امنیت سایبری آنها برای هکرها گران تمام میشود و به همین علت است که آمار حملاتی که از طریق «مهندسی اجتماعی» و فریبدادن کارکنان انجام میشود، از آمار هکهای سایبری سبقت گرفته است.
در همین حال، گزارشهای مشتریان آسیبدیده «کوین بیس» نشان میدهد که حملات فیشینگ و «جابهجایی سیمکارت» (SIM-Swap) هکرها علیه این کاربران هنوز ادامه دارد. با این که صرافی «کوین بیس» موظف است که به مدت دو سال از سرقت هویت کاربران جلوگیری کند، هیچ تعهدی در زمینه جبران خسارتهای احتمالی ارائه نداده است.
این حادثه یک زنگ هشدار برای همه شرکتهایی است که در جستوجوی رشد سریع، از آسیبپذیریهای زیرساختهای انسانی شرکتهای زیرمجموعه خود غافل ماندهاند. وقتی امنیت اطلاعات کاربران به دست کارکنانی سپرده میشود که در آنسوی دنیا با حقوقی اندک کار میکند، نباید از وقوع چنین حملاتی غافلگیر شد.
در دنیای ارزهای دیجیتال، اعتماد سرمایهای است که بهسادگی از دست میرود و بهسختی بازمیگردد. شاید بد نباشد که این صرافیها علاوه بر پرداخت میلیاردها دلار برای تقویت زیرساختهای تکنیکی پلتفرمهای خود کمی هم به فکر ارتقای سطح دستمزد و زندگی کارکنان خود باشند و رفاه بیشتری برای آنها فراهم کنند.
