Morten Lyhne Petersen
Kriminella mutade utländska Coinbase-supportagenter och kom åt känsliga uppgifter om nästan 70 000 kunder.
Kryptobörsen Coinbase har bekräftat att 69 461 personer drabbades när en grupp underleverantörer i Indien betalades för att lämna ut kunddata, enligt en anmälan till delstatsåklagaren i Maine. Intrånget inleddes i slutet av december 2024, men upptäcktes inte förrän den 11 maj 2025, när bolaget tog emot ett utpressningsbrev med krav på 20 miljoner dollar i bitcoin.
Coinbase vägrade att betala. Vd Brian Armstrong meddelade samma vecka att bolaget i stället sätter upp en belöningsfond på 20 miljoner dollar för information som leder till gripande och fällande domar. ”Vi kommer inte att betala lösen”, sade han i ett videomeddelande den 15 maj 2025.
Vilka uppgifter som stals
Listan över det som läckte är ovanligt detaljerad. Tjuvarna fick tillgång till namn, adresser, telefonnummer, e-postadresser och de fyra sista siffrorna i amerikanska personnummer. Därutöver fotograferades pass och körkort, och maskerade bankkontonummer hämtades tillsammans med kontosaldon och transaktionshistorik.
Däremot kom angriparna inte åt lösenord, seed-fraser eller privata nycklar, vilket innebär att själva kryptotillgångarna förblev orörda. Coinbase uppger att färre än 1 procent av bolagets månadsaktiva användare berörs.
I en anmälan till den amerikanska finansinspektionen SEC beräknar bolaget kostnaderna för åtgärder och ersättning till drabbade kunder till mellan 180 och 400 miljoner dollar.
Insider-attack mot indisk supportleverantör
Källan till intrånget var den texasbaserade outsourcing-leverantören TaskUs, som driver kundsupport för Coinbase från kontor i Indien. Kriminella betalade kontanter till ett mindre antal anställda för att de skulle fotografera kunduppgifter direkt från de interna supportverktygen.
TaskUs sade i januari 2025 upp omkring 300 anställda i samband med utredningen. En reviderad grupptalan som lämnades in i Southern District of New York den 17 september 2025 hävdar att bolaget aktivt tystade ned skandalen och underlät att informera investerare före en affär värd 1,6 miljarder dollar med private equity-jätten Blackstone. Käranden beskriver det inträffade som ”en mycket bredare och samordnad brottslig kampanj som involverade dussintals, om inte hundratals, TaskUs-anställda”.
I december 2025 grep polisen i Hyderabad en tidigare Coinbase-kundtjänstagent som misstänkt för delaktighet. ”Vi har nolltolerans för dåligt beteende och kommer att fortsätta samarbeta med polisen för att ställa skurkar inför rätta”, skrev Brian Armstrong då.
Vad svenska kunder bör göra
Coinbase är registrerat via sin irländska enhet och betjänar kunder i Sverige. Drabbade ska enligt bolaget ha fått personligt besked via e-post och erbjuds ett års kostnadsfri identitetsskyddsbevakning. Den som inte fått något besked hör sannolikt inte till den drabbade kretsen, men varje Coinbase-användare bör räkna med en förhöjd risk för riktade bedrägeriförsök.
Den vanligaste följdattacken är så kallad social engineering, där bedragarna ringer eller mejlar och utger sig för att vara från Coinbase support. De har då redan tillgång till tillräckligt mycket personlig information för att framstå som trovärdiga, och målet är att lura mottagaren att flytta kryptotillgångar till en plånbok som angriparen kontrollerar.
Coinbase rekommenderar därför att man aktiverar tvåfaktorsautentisering med en fysisk säkerhetsnyckel och sätter upp en så kallad allow list för uttag, så att tillgångar bara kan föras över till förhandsgodkända adresser.
En växande risk för utlokaliserad support
Fallet illustrerar en sårbarhet som rör betydligt fler branscher än krypto. Banker, spelbolag och försäkringsbolag i Sverige använder rutinmässigt utländska leverantörer för kundsupport, och samma medarbetare som hjälper kunder att verifiera sig har ofta direkt åtkomst till legitimation, kontonummer och saldoinformation.
I cybersäkerhetsbranschen beskrivs den här typen av angrepp som insider risk, det vill säga risken att en betrodd anställd själv blir den svaga länken. Coinbase-skandalen är hittills det dyraste exemplet, men sannolikt inte det sista.
