Coinsquare CEO Response To Data Breach

As the CEO of Coinsquare, I would like to provide you with a formal response to the recent news about a data breach of personal information contained within approximately 5,000 records of customer relationship management (CRM) data.

Our goal is to be as transparent as possible and echo the communications sent to our customers, and address questions raised on social media, customer support inquiries, and beyond.

We have done our best to provide as much information as possible across the following topics:

  1. Data Breach Backstory
  2. The VICE Article
  3. Coinsquare’s Retrospective
  4. The Facts of Those Impacted
  5. Coinsquare Does Not Offer SMS 2FA
  6. Communication to Impacted People

Data Breach Backstory

The issue started just over a year ago with someone posting a very small sample of data on Reddit claiming someone had access to Coinsquare user data; the claim was that they had access to around 50,000 users’ personal information.  At the time, we could not confirm that this was anything more than a threat.  Coinsquare could not validate that the malicious actor had more than a small sample of sales/prospecting data.  Coinsquare used the obtained information to notify those users whose names were supplied.  Coinsquare did take steps, as required by law, to inform law enforcement and the Office of the Privacy Commissioner about the Reddit forum, and the leak of data, based on the available information.

Based on the format of the data posted, it was evident that there was no breach of Coinsquare’s core software system, i.e. the Coinsquare exchange platform.  The field names, the way the information was compiled, and the inconsistencies in the data led us to believe that perhaps there was a theft from a customer relationship management (CRM) tool used to prospect both users and non-users to use Coinsquare Wealth.   

Additionally, the malicious actor did not approach Coinsquare asking for money or threaten us directly.  Coinsquare saw no subsequent unusual activity on the platform, or with specific sets of users, that would have led us to believe that there was a data breach that would constitute a risk of harm to our users.  

With the information provided at the time, Coinsquare felt confident that the malicious actor was not a hacker, but was most likely an ex-employee that got their hands on customer relationship management data and was trying to embarrass the company.   

Nevertheless, Coinsquare strengthened our internal processes, updated our sales management software including our internal data policy controls, and used this event as a way to improve our internal practices and systems.

The Vice Article

Fast forward to May 29, 2020.  Coinsquare was approached by a VICE reporter who informed the company that a ‘hacker’ had contacted them and provided a larger sample of data to VICE. VICE then graciously provided a portion of the data to Coinsquare, which allowed us to verify that the extent of the original threat was larger.  Once Coinsquare received the full list of information, we were able to confirm that this came from the same source of data from just over a year ago.   

At that point (June 3rd, 2020), Coinsquare began to take steps to inform all users about the incident.   We immediately began preparing and then communicating about the data breach with all our users, both affected and not affected, as well as those prospects (non-users) who were on the list.  

The list touches a number of different categories that we have spent time crafting accurate communications towards: those who have been affected and are users; those who have been affected and are not users (because it was prospecting data); and those who are not affected.  Additionally, we have taken precautionary measures: applying “no withdrawal” restrictions to impacted accounts (whether they have 2FA or not) and working on updating our customer support policies and communications.

Coinsquare’s Retrospective

Coinsquare is aware that this issue could have been handled better on Reddit when it first came up. We had only a very small amount of information at that time and could not validate the extent of the theft. The facts in our possession at that time amounted to 4 users, with a claim that they had additional pieces of personal information on both existing and prospective users. We could not confirm that claim.

We had to balance this claim against the facts in our possession.  Coinsquare could not verify at the time who the possible reported users might be out of our 290,000 person user base.  We had to weigh that against the possibility that this was simply a fabricated threat designed to harm our reputation.  In the subsequent weeks and months following this threat, Coinsquare experienced no unusual account activity.  In short, there were no red flags or spikes in compromised accounts that would lead us to believe specific users were being targeted by a hacker or malicious actor.

After recently being provided with the list of impacted persons, Coinsquare was able to use the list to confirm where the user data came from (our old CRM tool), and use the list to figure out which users were affected, which non-users were affected, and which users were not affected.    

The Facts of those Impacted

  • 286,828 users had NO information leaked. 
  • 3,453 Coinsquare users  did have some form of “Personally Identifiable Information” (PII) leaked – because the information comes from a CRM tool, there is inconsistency in the data by each user.  The information ranges from just names, emails, and phone numbers to in very few cases there is an address (9 addresses to be exact).
  • 1,137 non-Coinsquare users had some information leaked – again, this confirms to us, in addition to the layout of the data and the column headings, that this is information from a CRM tool.

These numbers differ slightly from our first posts on the subject. As we continue to do detailed analysis of the real impact, our numbers are becoming more refined.

Coinsquare Does Not Offer SMS 2FA

Coinsquare does not offer SMS 2FA.  In SMS authentication, users provide a code that has to be sent to their phone via SMS as proof of their identity. In theory, SMS authentication provides a second identity factor, but it has vulnerabilities specifically in the case of sim swaps.  

Although Coinsquare does not offer SMS 2FA, affected users may be using SMS 2FA on other applications.  We have informed them that they should be taking necessary precautions as described in the email communications we have provided links to below.

Communication to Impacted People

Coinsquare has put together a series of emails that have been sent to all users and non-users who were impacted by this data breach.  The emails are available for viewing below.

We have sent more than 290,000 emails out over the last few days and will continue to make sure we contact everyone who we may find has been impacted as we continue to analyze the data. 

Coinsquare hopes that this response helps to provide further clarity to those who want, and frankly deserve to hear the truth.  We are incredibly appreciative that the r/BitcoinCA Reddit community held us accountable, and are thankful to the r/BitcoinCA mod who contacted us in order to ensure we showed proper accountability to our users and affect non-users alike.

We continue to investigate the original source of the leak of data. We take all claims of a breach of data very seriously and are working closely with the Office of the Privacy Commissioner and the RCMP to make sure we are doing all we can to safeguard private information and to identify any deliberate efforts to harm our customers, members of the public and our company.

If you do have more questions or concerns please feel free submit a support ticket here. We will answer any question we can.  Please understand that we cannot answer questions about other people’s accounts.  

Thank you,

Cole Diamond
CEO of Coinsquare

Please note that under the Personal Information Protection and Electronic Documents Act (PIPEDA) you are entitled to register a complaint with the Office of the Privacy Commissioner of Canada with regard to this breach. Complaints may be forwarded to the following:

Office of the Privacy Commissioner of Canada
30 Victoria Street
Gatineau (Quebec)
K1A 1H3

Refer to this website for further information on how to file a complaint: https://www.priv.gc.ca/en/report-a-concern/file-a-formal-privacy-complaint/file-a-complaint-about-a-business

Réponse du PDG de Coinsquare à la violation de données

En tant que PDG de Coinsquare, je tenais à vous fournir une réponse officielle à propos des dernières nouvelles concernant une violation sur des données d’informations personnelles contenues dans environ 5 000 enregistrements de données d’un logiciel de gestion de la relation client.

Notre objectif est d’être aussi transparent que possible, de faire écho aux communications envoyées à nos clients, de répondre aux questions soulevées sur les réseaux sociaux, aux demandes de soutient de clients et au-delà.

Nous avons fait de notre mieux pour fournir autant d’informations que possible sur les sujets suivants:

  1. Informations relatives à la violation de données
  2. L’article de VICE
  3. Rétrospective par Coinsquare
  4. Les faits à propos des personnes touchées
  5. Coinsquare n’offre pas d’authentification à 2 facteurs par SMS
  6. Communication avec les personnes touchées

Informations relatives à la violation de données

Le problème a commencé il y a un peu plus d’un an lorsque quelqu’un a publié un très petit échantillon de données sur Reddit, affirmant que quelqu’un avait accès aux données utilisateur de Coinsquare. Selon eux, ils avaient accès à environ 50 000 données d’informations personnelles d’utilisateurs. À l’époque, nous ne pouvions pas confirmer qu’il s’agissait de quelque chose de plus qu’une menace. Coinsquare n’a pas pu valider que la personne malveillante possédait plus qu’un petit échantillon de données de vente / prospection. Coinsquare a utilisé les informations obtenues pour informer les utilisateurs dont les noms ont été fournis. Sur la base des informations disponibles, Coinsquare a pris des mesures, conformément à la loi, pour informer les forces de l’ordre et le Commissariat à la protection de la vie privée du forum Reddit de la fuite de données.

Sur la base du format des données publiées, il était évident qu’il n’y avait pas eu de violation du système du logiciel principal de Coinsquare, à savoir la plate-forme d’échange Coinsquare. Les noms des champs, la façon dont les informations ont été compilées et les incohérences dans les données nous ont amenés à croire qu’il y avait peut-être un vol dans un outil de gestion de la relation client utilisé pour prospecter les utilisateurs et les non-utilisateurs de Coinsquare Wealth.

De plus, la personne malveillante ne s’est pas rapprochée de Coinsquare pour demander de l’argent ou pour nous menacer directement. Coinsquare n’a vu aucune activité inhabituelle ultérieure sur la plate-forme, ou avec des ensembles d’utilisateurs spécifiques, qui nous aurait amenée à croire qu’il y avait une violation de données qui constituerait un risque de préjudice pour nos utilisateurs.

Avec les informations fournies à l’époque, Coinsquare était convaincu que l’acteur malveillant n’était pas un pirate informatique, mais était probablement un ancien employé qui avait mis la main sur des données de gestion de la relation client et essayait d’embarrasser l’entreprise.

Néanmoins, nous avons renforcé nos processus internes, mis à jour notre logiciel de gestion des ventes, y compris nos contrôles de politique de données internes, et utilisé cet événement comme un moyen d’améliorer nos pratiques et systèmes internes.

L’article de Vice

Le 29 mai 2020, Coinsquare a été approché par un journaliste de VICE qui a informé la société qu’un « pirate informatique » les avait contactés et leur avait fourni un plus grand échantillon de données. VICE a ensuite gracieusement fourni une partie des données à Coinsquare, ce qui nous a permis de vérifier que l’étendue de la menace d’origine était plus importante. Une fois que Coinsquare a reçu la liste complète des informations, nous avons pu confirmer que cela provenait de la même source de données d’il y a un peu plus d’un an.

À ce stade (3 juin 2020), Coinsquare a commencé à prendre des mesures pour informer tous les utilisateurs de l’incident. Nous avons immédiatement commencé à préparer puis à communiquer sur la violation de données avec tous nos utilisateurs, concernés comme non concernés, ainsi que les prospects (non-utilisateurs) qui figuraient sur la liste.

Rétrospective par Coinsquare

Coinsquare est conscient que ce problème aurait pu être mieux géré sur Reddit lors de sa première apparition. À ce moment-là, nous ne disposions que d’une très petite quantité d’informations et nous n’avons pas pu valider l’étendue du vol de données. Les faits en notre possession à ce moment-là s’élevaient à 4 utilisateurs, avec une revendication que des informations personnelles supplémentaires sur les utilisateurs existants et potentiels étaient en leur possession. Nous n’avons pas pu confirmer cette affirmation.

Nous avons dû mettre cette revendication en balance avec les faits en notre possession. Coinsquare n’a pas pu vérifier à l’époque qui pourraient être les utilisateurs signalés parmi notre base d’utilisateurs de 290 000 personnes. Nous avons dû mettre cela en balance avec la possibilité qu’il s’agissait simplement d’une menace fabriquée de manière à nuire à notre réputation. Au cours des semaines et des mois qui ont suivi cette menace, Coinsquare n’a connu aucune activité de compte inhabituelle. En bref, il n’y avait pas de drapeaux rouges ou de pics dans les comptes compromis qui auraient pu nous faire croire que des utilisateurs spécifiques étaient ciblés par un pirate ou un acteur malveillant.

Après avoir récemment reçu la liste des personnes touchées, Coinsquare a pu utiliser la liste pour confirmer la provenance des données utilisateur (notre ancien outil de gestion de la relation client) et utiliser la liste pour déterminer quels utilisateurs étaient affectés, quels non-utilisateurs étaient affectés et quels utilisateurs n’ont pas été affectés.

Les faits à propos des personnes touchées

  • 286 828 utilisateurs n’ont eu AUCUNE fuite d’informations.
  • 3,453 utilisateurs de Coinsquare ont eu une certaine forme de « renseignements personnels identifiables ». Parce que ces informations proviennent d’un outil gestion de la relation client, il se trouve une incohérence dans les données de chaque utilisateur. Les informations vont des seuls noms, e-mails et numéros de téléphone à, dans très peu de cas, une adresse (9 adresses pour être exact).
  • 1,137 non-utilisateurs de Coinsquare ont eu des fuites d’informations – encore une fois, cela nous confirme, en plus de la disposition des données et des en-têtes de colonne, qu’il s’agit d’informations provenant d’un outil de gestion de la relation client.

Ces chiffres diffèrent légèrement de nos premiers articles sur le sujet. À mesure que nous continuons d’analyser en détail l’impact réel, nos chiffres se précisent.

Coinsquare n’offre pas d’authentification à 2 facteurs par SMS 

Coinsquare n’offre pas d’authentification à 2 facteurs par SMS. Avec l’authentification par SMS, les utilisateurs fournissent un code qui doit être envoyé à leur téléphone via SMS comme preuve de leur identité. En théorie, l’authentification SMS fournie un deuxième facteur d’identité, mais elle présente des vulnérabilités —spécifiquement dans le cas d’échanges de cartes SIM.

Bien que Coinsquare n’offre pas d’authentification à 2 facteurs par SMS, les utilisateurs concernés peuvent utiliser l’authentification à 2 facteurs par SMS sur d’autres applications. Ces derniers ont été informés qu’ils devraient prendre les précautions nécessaires décrites dans les communications par e-mail pour lesquelles nous avons fourni des liens ci-dessous.

Communication avec les personnes touchées

Coinsquare a rassemblé une série de communications par courriels qui ont été envoyés à tous les utilisateurs et non-utilisateurs qui ont été touchés par cette violation de données. Les courriels peuvent être consultés ci-dessous.

Nous avons envoyé plus de 290 000 courriels au cours des derniers jours et continuerons de nous assurer que nous contactons toutes les personnes que nous pourrions trouver qui ont été affectées, alors que nous continuons d’analyser les données.

Coinsquare espère que cette réponse contribuera à apporter plus de clarté à ceux qui le souhaitent, et mérite d’entendre la vérité. Nous sommes extrêmement reconnaissants que la communauté r/BitcoinCA Reddit nous a tenue pour responsables, et sommes reconnaissants à r/BitcoinCA qui nous a contacté afin de nous assurer que nous avons fait preuve de responsabilité envers aussi bien nos utilisateurs que non-utilisateurs.

Nous continuons d’enquêter sur la source d’origine de la fuite de données. Nous prenons très au sérieux toutes les allégations de violation de données et travaillons en étroite collaboration avec le Commissariat à la protection de la vie privée et la GRC pour nous assurer que nous faisons tout ce que nous pouvons pour protéger les informations privées et pour identifier tout effort délibéré de nuire à nos clients, membres du public et de notre entreprise.

Si vous avez d’autres questions ou préoccupations, n’hésitez pas à soumettre un ticket d’assistance ici. Nous répondrons à toutes les questions possibles. Veuillez comprendre que nous ne pouvons pas répondre aux questions concernant les comptes d’autres personnes.

Merci,

Cole Diamond
PDG de Coinsquare

Veuillez noter qu’en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), vous êtes en droit de déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada concernant cette violation. Les plaintes peuvent être transmises aux personnes suivantes:

Commissariat à la protection de la vie privée du Canada
30 rue Victoria
Gatineau (Québec)
K1A 1H3

Veuillez-vous reporter au site Web suivant pour plus d’informations sur la façon de déposer une plainte: https://www.priv.gc.ca/fr/signaler-un-probleme/deposer-une-plainte-officielle-concernant-la-protection-de-la-vie-privee/deposer-une-plainte-visant-une-entreprise/

Leave a Reply

Your email address will not be published.