Kilder hævder, at Coinbase vidste om databruddet måneder før afsløringen

En entreprenør, der arbejder for Coinbase, solgte angiveligt kundedata til hackere i januar, måneder før kryptobørs afslørede den nylige KYC-datalækage.

Ifølge en Reuters -rapport, der citerer seks personer med kendskab til sagen, involverede mindst én del af bruddet en Indien-baseret medarbejder hos TaskUs, et USU-outsourcingfirma, der håndterede Coinbase-support.

Personen blev taget i at tage billeder af sin arbejdscomputer med en privat telefon.

Tidligere TaskUs-ansatte sagde, at entreprenøren sammen med en påstået medskyldig solgte Coinbase-kundedata til gengæld for bestikkelse.

Kilder hævder, at Coinbase straks blev underrettet efter hændelsen, som fandt sted i Indore, Indien, hvilket tyder på, at virksomheden havde forudgående kendskab til bruddet længe før dens indgivelse af regulatoriske ansøgning den 14. maj.

Tre tidligere TaskUs-medarbejdere og en anden kilde sagde, at mere end 200 arbejdere blev fyret i en massefyring, der fulgte, selvom kun to var impliceret i bruddet.

Detaljerne, som Reuters offentliggjorde for første gang, tyder på, at Coinbase muligvis vidste om bruddet længe før det blev offentliggjort til tilsynsmyndighederne den 14. maj.

I sin SEC-indberetning bekræftede Coinbase, at tredjepartsleverandører havde adgang til følsomme data "uden forretningsmæssigt behov" i de foregående måneder, men hævdede, at de først indså omfanget af bruddet efter et afpresningsforsøg på 20 millioner dollars fra hackerne den 11. maj.

Virksomheden sagde, at den derefter opdagede, at den uautoriserede adgang var en del af en større kampagne.

Coinbase bekræftede over for Reuters, at de siden har afsluttet alle forbindelser med det implicerede TaskUs-personale og andre udenlandske agenter og har strammet de interne sikkerhedskontroller.

I en erklæring udsendt tidligere i år anerkendte TaskUs fyringen af ​​to medarbejdere og udtalte, at bruddet var en del af en bredere, koordineret kriminel kampagne rettet mod en af ​​deres kunder, selvom de ikke nævnte klientens navn på det tidspunkt.

En kilde bekræftede, at klienten faktisk var Coinbase.

Indtil videre er det uklart, om der er foretaget nogen anholdelser.

For TaskUs er det ikke første gang, at de er blevet gransket på grund af et kryptorelateret databrud.

I 2022 blev virksomheden sammen med Shopify navngivet i flere retssager i forbindelse med et brud på sikkerheden i 2020, der involverede Ledger SAS, en udbyder af hardware-wallets.

Coinbase under juridisk lup

Coinbase afslørede først bruddet i sin indberetning fra maj, hvor de anførte, at en delmængde af brugerne havde fået adgang til deres data via kompromitterede tredjepartsleverandører.

Selvom virksomheden sagde, at der ikke blev stjålet adgangskoder eller penge, bekræftede den, at personlige data såsom navne, e-mailadresser og i nogle tilfælde delvise CPR-numre og ID-dokumenter blev eksponeret.

Hændelsen udløste en kriminel efterforskning foretaget af det amerikanske justitsministerium, hvor agenturets kriminalafdeling angiveligt samarbejdede med internationale retshåndhævende myndigheder for at vurdere, om Coinbases interne kontroller var tilstrækkelige til at forhindre en sådan adgang.

Separat står Coinbase over for flere retssager i USA, herunder en føderal sag anlagt på Manhattan, der påstår uagtsomhed fra både Coinbase og TaskUs' side.

Sagsøgerne hævder, at virksomhederne ikke implementerede tilstrækkelige sikkerhedsforanstaltninger, hvilket tillod uærlige entreprenører at lække følsomme KYC-data.

Retssagerne søger erstatning for berørte brugere, og nogle hævder, at Coinbase forsinkede offentliggørelsen på trods af at have forudgående kendskab til bruddet.

De nye afsløringer fra Reuters om, at Coinbase blev underrettet om hændelsen allerede i januar, kan komplicere deres juridiske forsvar.

Sagsøgere kan henvise til denne tidslinje for at argumentere for, at virksomheden tilbageholdt væsentlige oplysninger fra tilsynsmyndigheder og kunder.

Det kunne også styrke påstande om, at Coinbases tilsyn med sine outsourcingpartnere var utilstrækkeligt, hvilket øger presset på SEC og andre tilsynsmyndigheder for at iværksætte håndhævelsesforanstaltninger.