Fuentes afirman que Coinbase conocía la violación de datos meses antes de su divulgación.

Un contratista que trabajaba para Coinbase supuestamente vendió datos de clientes a piratas informáticos en enero, meses antes de que la exchange de criptomonedas revelara la reciente filtración de datos KYC.

Según un informe de Reuters que cita a seis personas familiarizadas con el asunto, al menos una parte de la violación de seguridad involucró a un empleado de TaskUs, una empresa estadounidense de subcontratación que se encargaba del soporte de Coinbase, y que tiene sede en la India.

Se le sorprendió a esa persona tomando fotografías de su ordenador de trabajo con un teléfono personal.

Según ex empleados de TaskUs, el contratista, junto con un presunto cómplice, vendió datos de clientes de Coinbase a cambio de sobornos.

Fuentes afirman que Coinbase fue notificada inmediatamente después del incidente, que ocurrió en Indore, India, lo que sugiere que la compañía tenía conocimiento previo de la violación de seguridad mucho antes de su presentación regulatoria del 14 de mayo.

Tres ex empleados de TaskUs y otra fuente dijeron que más de 200 trabajadores fueron despedidos en un despido masivo que siguió al incidente, aunque solo dos estuvieron implicados en la violación de datos.

Los detalles, publicados públicamente por primera vez por Reuters, sugieren que Coinbase podría haber tenido conocimiento de la vulneración mucho antes de su divulgación a los reguladores el 14 de mayo.

En su presentación ante la SEC, Coinbase confirmó que contratistas externos accedieron a datos confidenciales "sin necesidad comercial" en meses anteriores, pero afirmó que solo se dio cuenta de la magnitud de la violación después de un intento de extorsión de 20 millones de dólares por parte de los piratas informáticos el 11 de mayo.

La empresa declaró que posteriormente descubrió que el acceso no autorizado formaba parte de una campaña más amplia.

Coinbase confirmó a Reuters que había rescindido todos los vínculos con el personal de TaskUs implicado y otros agentes en el extranjero, y que ha reforzado los controles de seguridad internos.

TaskUs, en un comunicado emitido a principios de este año, reconoció el despido de dos empleados y declaró que la violación de datos formaba parte de una campaña delictiva coordinada y de mayor envergadura dirigida a uno de sus clientes, aunque en ese momento no reveló el nombre del cliente.

Una fuente confirmó que el cliente era, efectivamente, Coinbase.

Hasta el momento, no está claro si se han realizado detenciones.

Para TaskUs, esta no es la primera vez que se enfrenta a un escrutinio por una violación de datos relacionada con criptomonedas.

En 2022, la empresa fue nombrada en varias demandas junto con Shopify por una violación de seguridad de 2020 que involucró a Ledger SAS, un proveedor de monederos de hardware.

Coinbase bajo escrutinio legal.

Coinbase reveló por primera vez la vulneración de seguridad en su presentación regulatoria de mayo, donde declaró que un subconjunto de usuarios tuvo sus datos accesados a través de contratistas externos comprometidos.

Si bien la empresa afirmó que no se robaron contraseñas ni fondos, confirmó que se expusieron datos personales como nombres, direcciones de correo electrónico y, en algunos casos, números parciales de la Seguridad Social y documentos de identificación.

El incidente desencadenó una investigación penal por parte del Departamento de Justicia de EE. UU., y se informó que la división penal de la agencia está trabajando con agencias internacionales de aplicación de la ley para evaluar si los controles internos de Coinbase eran suficientes para evitar dicho acceso.

Por otro lado, Coinbase se enfrenta a múltiples demandas judiciales en Estados Unidos, incluyendo un caso federal presentado en Manhattan que alega negligencia por parte tanto de Coinbase como de TaskUs.

Los demandantes afirman que las empresas no implementaron salvaguardas adecuadas, lo que permitió a contratistas deshonestos filtrar datos KYC confidenciales.

Las demandas buscan obtener indemnizaciones para los usuarios afectados, y algunos sostienen que Coinbase retrasó la divulgación pública a pesar de tener conocimiento previo de la violación de seguridad.

Las nuevas revelaciones de Reuters de que Coinbase fue notificada del incidente ya en enero podrían complicar su defensa legal.

Los demandantes pueden citar esta cronología para argumentar que la empresa ocultó información relevante a los reguladores y a los clientes.

También podría reforzar las afirmaciones de que la supervisión de Coinbase sobre sus socios subcontratados fue insuficiente, lo que aumentaría la presión sobre la SEC y otros reguladores para que emprendan acciones coercitivas.