Lähteet väittävät, että Coinbase tiesi tietomurrosta kuukausia ennen paljastumista

Coinbaselle työskentelevä urakoitsija myi väitetysti asiakastietoja hakkereille tammikuussa, kuukausia ennen kuin kryptopörssi paljasti äskettäisen KYC-tietovuodon.

Reutersin raportin mukaan, jossa viitattiin kuuteen asiaan perehtyneeseen henkilöön, ainakin osa tietomurrosta koski Intiassa työskentelevää TaskUs-yrityksen työntekijää. TaskUs on yhdysvaltalainen ulkoistusyritys, joka hoiti Coinbasen tukea.

Henkilö jäi kiinni ottamasta valokuvia työpaikkansa tietokoneelta henkilökohtaisella puhelimella.

Entisten TaskUs-työntekijöiden mukaan urakoitsija myi väitetyn rikoskumppaninsa kanssa Coinbasen asiakastietoja lahjuksia vastaan.

Lähteet väittävät, että Coinbaselle ilmoitettiin välittömästi Indoressa, Intiassa, sattuneen tapauksen jälkeen, mikä viittaa siihen, että yhtiöllä oli ennakkotietoa tietomurrosta jo kauan ennen 14. toukokuuta jätettyä viranomaisilmoitustaan.

Kolme entistä TaskUsin työntekijää ja toinen lähde kertoivat, että yli 200 työntekijää irtisanottiin sitä seuranneessa joukkoirtisanomisessa, vaikka vain kaksi oli osallisena tietomurtoon.

Reutersin ensimmäistä kertaa julkisesti raportoimat tiedot viittaavat siihen, että Coinbase on saattanut tietää tietomurrosta jo kauan ennen kuin se paljasti tiedot sääntelyviranomaisille 14. toukokuuta.

SEC-hakemuksessaan Coinbase vahvisti, että kolmannen osapuolen urakoitsijat olivat käyttäneet arkaluonteisia tietoja "ilman liiketoimintatarvetta" aiempina kuukausina, mutta väitti tajunneensa tietomurron laajuuden vasta hakkereiden tehtyä 20 miljoonan dollarin kiristysyrityksen 11. toukokuuta.

Yhtiö kertoi myöhemmin havainneensa luvattoman käytön olevan osa laajempaa kampanjaa.

Coinbase vahvisti Reutersille, että se on sittemmin katkaissut kaikki siteet epäiltyihin TaskUs-työntekijöihin ja muihin ulkomaisiin agentteihin ja tiukentanut sisäisiä turvatoimia.

TaskUs myönsi aiemmin tänä vuonna antamassaan lausunnossa kahden työntekijän irtisanomisen ja totesi, että tietomurto oli osa laajempaa, koordinoitua rikollista kampanjaa, joka oli kohdistettu yhteen sen asiakkaista, vaikka se ei tuolloin nimennyt asiakasta.

Lähde vahvisti, että asiakas oli todellakin Coinbase.

Toistaiseksi ei ole selvää, onko pidätyksiä tehty.

TaskUsille tämä ei ole ensimmäinen kerta, kun sitä on tarkasteltu kryptovaluuttoihin liittyvän tietomurron vuoksi.

Vuonna 2022 yritys nimettiin useissa oikeusjutuissa Shopifyn rinnalla vuonna 2020 tapahtuneen tietomurron vuoksi, johon liittyi laitteistolompakoiden tarjoaja Ledger SAS.

Coinbase oikeudellisen tarkastelun alla

Coinbase paljasti tietomurron ensimmäisen kerran toukokuussa jättämässään sääntelyhakemuksessa, jossa se totesi, että osa käyttäjistä oli päässyt tietoihinsa käsiksi vaarantuneiden kolmansien osapuolten urakoitsijoiden kautta.

Vaikka yritys sanoi, ettei salasanoja tai varoja varastettu, se vahvisti, että henkilötietoja, kuten nimiä, sähköpostiosoitteita ja joissakin tapauksissa osittaisia ​​sosiaaliturvatunnuksia ja henkilöllisyystodistuksia, oli vuotanut.

Tapaus käynnisti Yhdysvaltain oikeusministeriön rikostutkinnan, jonka viraston rikososaston kerrotaan tehneen yhteistyötä kansainvälisten lainvalvontaviranomaisten kanssa arvioidakseen, olivatko Coinbasen sisäiset valvontamekanismit riittäviä estämään tällaisen pääsyn tietoihin.

Coinbasella on erillään useita oikeusjuttuja Yhdysvalloissa, mukaan lukien Manhattanilla nostettu liittovaltion kanne, jossa väitetään sekä Coinbasen että TaskUsin huolimattomuutta.

Kantajat väittävät, että yritykset eivät ole toteuttaneet riittäviä suojatoimia, minkä ansiosta epärehelliset urakoitsijat ovat vuotaneet arkaluonteisia KYC-tietoja.

Kanteissa vaaditaan vahingonkorvauksia käyttäjille, jotka ovat kärsineet tietomurrosta, ja jotkut väittävät, että Coinbase viivästytti julkistamista, vaikka se tiesi tietomurrosta etukäteen.

Reutersin uudet paljastukset, joiden mukaan Coinbaselle ilmoitettiin tapauksesta jo tammikuussa, voivat vaikeuttaa sen oikeudellista puolustusta.

Kantajat voivat vedota tähän aikajanaan väittääkseen, että yhtiö on pimittänyt olennaisia ​​tietoja sääntelyviranomaisilta ja asiakkailta.

Se voisi myös vahvistaa väitteitä, joiden mukaan Coinbasen ulkoistuskumppaneidensa valvonta oli riittämätöntä, mikä lisäisi painetta SEC:lle ja muille sääntelyviranomaisille ryhtyä täytäntöönpanotoimiin.