Coinbase wusste Monate vor der Bekanntmachung von Datenverletzung, behaupten Quellen.

Ein Auftragnehmer, der für Coinbase arbeitete, soll im Januar Kundendaten an Hacker verkauft haben, Monate bevor die Crypto exchange den jüngsten KYC-Datenleck bekannt gab.

Laut einem Bericht von Reuters, der sich auf sechs mit der Angelegenheit vertraute Personen stützt, war mindestens ein Teil des Vorfalls auf einen in Indien ansässigen Mitarbeiter von TaskUs zurückzuführen, einem US-amerikanischen Outsourcing-Unternehmen, das den Coinbase-Support betreute.

Die Person wurde dabei erwischt, wie sie mit einem privaten Telefon Fotos von ihrem Arbeitscomputer machte.

Ehemalige Mitarbeiter von TaskUs gaben an, dass der Auftragnehmer zusammen mit einem mutmaßlichen Komplizen Coinbase-Kundendaten gegen Bestechungsgelder verkauft habe.

Quellen zufolge wurde Coinbase unmittelbar nach dem Vorfall, der in Indore, Indien, stattfand, benachrichtigt, was darauf hindeutet, dass das Unternehmen bereits vor der Einreichung der Meldung bei den Aufsichtsbehörten am 14. Mai Kenntnis von der Sicherheitsverletzung hatte.

Drei ehemalige TaskUs-Mitarbeiter und eine weitere Quelle sagten, dass im Zuge der Entlassungswelle, die darauf folgte, mehr als 200 Mitarbeiter entlassen wurden, obwohl nur zwei an der Sicherheitsverletzung beteiligt waren.

Die Details, die Reuters erstmals öffentlich bekannt machte, deuten darauf hin, dass Coinbase den Vorfall möglicherweise schon lange vor der Meldung an die Aufsichtsbehörden am 14. Mai kannte.

In ihrer Einreichung bei der SEC bestätigte Coinbase, dass Drittanbieter-Vertragspartner in den Vorjahren ohne geschäftlichen Bedarf auf sensible Daten zugegriffen hatten, behauptete aber, dass sie das Ausmaß des Verstoßes erst nach einem Erpressungsversuch der Hacker in Höhe von 20 Millionen Dollar am 11. Mai erkannt hätten.

Das Unternehmen gab an, dass es daraufhin herausfand, dass der unbefugte Zugriff Teil einer umfassenderen Kampagne war.

Coinbase bestätigte gegenüber Reuters, dass das Unternehmen alle Verbindungen zu den betroffenen TaskUs-Mitarbeitern und anderen ausländischen Agenten beendet und die internen Sicherheitskontrollen verschärft hat.

TaskUs räumte in einer Mitteilung, die Anfang des Jahres veröffentlicht wurde, die Entlassung von zwei Mitarbeitern ein und erklärte, dass der Verstoß Teil einer umfassenderen, koordinierten kriminellen Kampagne gegen einen seiner Kunden sei, obwohl das Unternehmen den Kunden damals nicht nannte.

Eine Quelle bestätigte, dass es sich bei dem Kunden tatsächlich um Coinbase handelte.

Ob es zu Festnahmen gekommen ist, ist derzeit unklar.

Für TaskUs ist dies nicht das erste Mal, dass das Unternehmen wegen eines kryptowährungsbezogenen Datenverstoßes unter die Lupe genommen wird.

Im Jahr 2022 wurde das Unternehmen zusammen mit Shopify in mehreren Rechtsstreitigkeiten wegen eines Vorfalls aus dem Jahr 2020 genannt, bei dem es zu einem Datenleck bei Ledger SAS, einem Anbieter von Hardware-Wallets, gekommen war.

Coinbase unter juristischer Beobachtung

Coinbase gab den Datenverstoß erstmals in seiner regulatorischen Meldung im Mai bekannt, in der es erklärte, dass ein Teil der Benutzerdaten durch kompromittierte Drittanbieter-Vertragspartner abgerufen worden seien.

Obwohl das Unternehmen erklärte, dass keine Passwörter oder Gelder gestohlen wurden, bestätigte es, dass personenbezogene Daten wie Namen, E-Mail-Adressen und in einigen Fällen teilweise Sozialversicherungsnummern und Ausweisdokumente offengelegt wurden.

Der Vorfall löste eine strafrechtliche Untersuchung durch das US-Justizministerium aus, wobei die Strafverfolgungsabteilung der Behörde Berichten zufolge mit internationalen Strafverfolgungsbehörden zusammenarbeitet, um zu beurteilen, ob die internen Kontrollen von Coinbase ausreichten, um einen solchen Zugriff zu verhindern.

Unabhängig davon wird Coinbase in den USA mit mehreren Klagen konfrontiert, darunter ein Bundesklageverfahren in Manhattan, das sowohl Coinbase als auch TaskUs Fahrlässigkeit vorwirft.

Die Kläger behaupten, dass die Unternehmen es versäumt haben, angemessene Sicherheitsvorkehrungen zu treffen, wodurch es unbefugten Auftragnehmern ermöglicht wurde, sensible KYC-Daten zu verleaken.

Die Klagen fordern Schadensersatz für betroffene Nutzer, und einige argumentieren, dass Coinbase die öffentliche Bekanntmachung verzögert hat, obwohl sie von der Sicherheitsverletzung Kenntnis hatte.

Die neuen Enthüllungen von Reuters, dass Coinbase bereits im Januar über den Vorfall informiert wurde, könnten die Rechtsverteidigung des Unternehmens erschweren.

Kläger könnten diese Chronologie anführen, um zu argumentieren, dass das Unternehmen Regulierungsbehörden und Kunden wesentliche Informationen vorenthalten hat.

Es könnte auch die Behauptungen stärken, dass die Aufsicht von Coinbase über seine externen Partner unzureichend war, und den Druck auf die SEC und andere Aufsichtsbehörden erhöhen, Durchsetzungsmaßnahmen zu ergreifen.