Private Daten von Coinbase-Kunden geleakt

"Leaking Sculpture" von Fredrik Linge via Flickr.com. Rechte nach Creative Common 2.0

KYC hat seinen Preis. Kriminelle haben den Support der US-Börse Coinbase bestochen, um private Daten von Kunden abzugreifen. Coinbase beschwichtigt zwar, dass weniger als ein Prozent der Kunden betroffen seien. Doch der Schaden ist enorm.

Gutes Marketing bedeutet leider allzu oft, ein Geschehen möglichst elegant als sein Gegenteil zu verkaufen. In diesem Sinne titelt die große US-Börse Coinbase „Wir schützen unsere Kunden – und wehren uns gegen Erpresser“ – obwohl eher das Gegenteil geschah.

Wie alle Krypto-Unternehmen sieht sich Coinbase gezwungen, seinen Kunden eine immer größere Menge privater Daten und Dokumente abzunötigen. Die Regulierung verlangt dies, um Geldwäsche zu verhindern, was sicherlich seinen Grund hat, aber eben auch seinen Preis. Dieser Preis wurde nun bei Coinbase sichtbar, und die Börse hat ihn prompt auf ihre Kunden umgeschlagen.

Um die Kunden ausreichend zu verifizieren, nutzt Coinbase ID-Dienstleister, die dies erledigen, etwa indem sie Kunden per Video-Ident prüfen. Jeder, der einen Account bei einer Krypto-Börse hat – oder auch nur eine einigermaßen aktuelle Sim-Karte – kennt das Verfahren. In der Regel videochattet man mit jemandem, der die eigene Sprache gut kennt, ohne zu wissen, wo die Person lebt.

Im Falle von Coinbase haben Kriminelle nun Mitarbeiter des Kunden-Supports „im Ausland“ kontaktieren. Die Mitarbeiter wurden bestochen, um Daten, die im Kunden-Support-System lagen, zu kopieren. Dies betraf weniger als ein Prozent der Kunden von Coinbase – was bei wohl mehr als 100 Millionen Usern keine kleine Menge bleibt.

Die Kriminellen haben danach die Kunden kontaktiert, sich als Coinbase-Suppport augegeben und versucht, ihnen die privaten Schlüssel für Kryptowährungen abzuluchsen. Ihr kennt solche Mails vermutlich. Danach haben sie Coinbase kontaktiert und 20 Millionen Dollar verlangt, um die Daten zu vernichten. „Wir sagten nein“, rühmt sich Coinbase nun dafür, seine Kunden im Regen stehen zu lassen, um einen Betrag zu sparen, den die Börse im vergangenen Jahr an einem durchschnittlichen Tag eingenommen hat.

Das Ergebnis ist nun, dass die Kriminellen im Besitz von privaten Daten von „weniger als einem Prozent“ – also einer Million – Kunden sind: Namen, Adressen, Telefonnummern, E-Mail, letzte Ziffern der Social Security Number, Bilder von Ausweisen, Führerscheinen, Proof of Residence, Daten über Guthaben und Transaktionen im Account. Man kann sich vorstellen, wie gewaltig die Gefahr für die Sicherheit der betroffenen Kunden ist.

Coinbase reagiert, indem es Kunden entschädigt, die auf Scammer reingefallen sind, die sich als Coinbase ausgaben, ergreift bei betroffenen Accounts verschärfte Maßnahmen bei hohen Abbuchungen – die Börse ist sich offenbar über die physischen Gefahren für ihre Kunden bewusst – und verstärkt seine Sicherheitsmaßnahmen. Darüber hinaus stellt Coinbase ein 20-Millionen-Dollar-Kopfgeld aus für Hinweise, die zur Festnahme der Täter führen.

Man kann nur konstatieren, dass Identitäts-Prüfungen aus der vordigitalen Zeit im Begriff sind, in ein Desaster zu führen. Dabei gibt es längst Möglichkeiten, diese Verfahren durch moderne zu ersetzen, etwa eine tokenisierte ID, die man passporten kann, so dass nur noch ein Dienstleister die Daten erheben muss, während sich die User mit ihnen bei vielen Börsen anmelden können. Ein vergleichbares Verfahren ist OmniPersona von ecrop für das deutsche Kryptowertpapier, auch wenn die Umsetzung noch etwas klumpig ist.

Zusammen mit den immer häufigeren Entführungen von und Angriffen auf die Besitzer von Kryptowährungen sollte dieser Vorfall endlich zu einem Umdenken führen, wie man die notwendigen Schäden für die Privatsphäre, die der Kampf gegen Geldwäsche leider erfordert, minimiert.