Coinbase était au courant de la violation de données des mois avant de l'annoncer, affirment des sources.

Un sous-traitant travaillant pour Coinbase aurait vendu des données clients à des pirates informatiques en janvier, plusieurs mois avant que la exchange crypto ne révèle la récente fuite de données KYC.

Selon un rapport de Reuters citant six personnes au fait de la situation, au moins une partie de la violation de données impliquait un employé de TaskUs, une société américaine d'externalisation qui gérait le support client de Coinbase, et qui était basé en Inde.

La personne a été surprise en train de prendre des photos de son ordinateur professionnel avec son téléphone personnel.

D'anciens employés de TaskUs ont déclaré que le sous-traitant, ainsi qu'un complice présumé, avaient vendu des données de clients de Coinbase en échange de pots-de-vin.

Des sources affirment que Coinbase a été immédiatement informée après l'incident, qui s'est produit à Indore, en Inde, ce qui suggère que la société avait connaissance de la violation bien avant son dépôt réglementaire du 14 mai.

Trois anciens employés de TaskUs et une autre source ont déclaré que plus de 200 employés avaient été licenciés lors d'un licenciement collectif qui a suivi, bien que seuls deux aient été impliqués dans la violation de données.

Les détails, rapportés publiquement pour la première fois par Reuters, suggèrent que Coinbase aurait pu être au courant de la violation bien avant son signalement aux autorités réglementaires le 14 mai.

Dans son document déposé auprès de la SEC, Coinbase a confirmé que des contractants tiers avaient accédé à des données sensibles « sans motif commercial » au cours des mois précédents, mais a affirmé n'avoir pris conscience de l'ampleur de la violation qu'après une tentative d'extorsion de 20 millions de dollars par les pirates le 11 mai.

La société a déclaré avoir ensuite découvert que cet accès non autorisé faisait partie d'une campagne plus vaste.

Coinbase a confirmé à Reuters qu'elle avait depuis rompu tous les liens avec le personnel de TaskUs impliqué et d'autres agents étrangers, et qu'elle avait renforcé ses contrôles de sécurité internes.

Dans un communiqué publié plus tôt cette année, TaskUs a reconnu le licenciement de deux employés et a déclaré que la violation faisait partie d'une campagne criminelle coordonnée plus vaste ciblant l'un de ses clients, bien qu'elle n'ait pas révélé le nom du client à l'époque.

Une source a confirmé que le client était bien Coinbase.

À ce stade, on ignore si des arrestations ont été effectuées.

Pour TaskUs, ce n'est pas la première fois qu'elle est soumise à un examen minutieux à la suite d'une violation de données liée aux cryptomonnaies.

En 2022, l'entreprise a été nommée dans plusieurs procès aux côtés de Shopify à propos d'une violation de données de 2020 impliquant Ledger SAS, un fournisseur de portefeuilles matériels.

Coinbase sous le feu de la législation

Coinbase a révélé la faille de sécurité pour la première fois dans son rapport réglementaire de mai, où elle a indiqué qu'un sous-ensemble d'utilisateurs avait vu ses données compromises par des sous-traitants tiers.

Bien que l'entreprise ait affirmé que ni les mots de passe ni les fonds n'avaient été volés, elle a confirmé que des données personnelles telles que les noms, les adresses électroniques et, dans certains cas, des numéros de sécurité sociale et des documents d'identité partiels avaient été exposés.

L'incident a déclenché une enquête pénale du ministère américain de la Justice, et la division pénale de l'agence travaillerait apparemment avec des agences internationales d'application de la loi pour évaluer si les contrôles internes de Coinbase étaient suffisants pour empêcher un tel accès.

Par ailleurs, Coinbase fait l'objet de plusieurs procès aux États-Unis, dont un procès fédéral intenté à Manhattan qui allègue une négligence de la part de Coinbase et de TaskUs.

Les plaignants affirment que les entreprises n'ont pas mis en place de mesures de sécurité adéquates, ce qui a permis à des sous-traitants malhonnêtes de divulguer des données sensibles relatives à la connaissance du client (KYC).

Les poursuites visent à obtenir des dommages et intérêts pour les utilisateurs concernés, et certains soutiennent que Coinbase a retardé la divulgation publique de la faille de sécurité malgré sa connaissance préalable de celle-ci.

Les nouvelles révélations de Reuters selon lesquelles Coinbase a été informée de l'incident dès le mois de janvier pourraient compliquer sa défense juridique.

Les plaignants pourraient invoquer cette chronologie pour soutenir que la société a dissimulé des informations importantes aux autorités de réglementation et aux clients.

Cela pourrait également renforcer les allégations selon lesquelles la surveillance exercée par Coinbase sur ses partenaires sous-traitants était insuffisante, ce qui augmenterait la pression sur la SEC et d'autres organismes de réglementation pour qu'ils prennent des mesures coercitives.