Secondo alcune fonti, Coinbase era a conoscenza della violazione dei dati mesi prima della divulgazione.

Un collaboratore esterno che lavorava per Coinbase avrebbe venduto dati dei clienti agli hacker a gennaio, mesi prima che l'exchange di criptovalute rivelasse la recente violazione dei dati KYC.

Secondo un rapporto di Reuters che cita sei persone a conoscenza dei fatti, almeno una parte della violazione dei dati ha coinvolto un dipendente di TaskUs, una società americana di outsourcing che si occupava dell'assistenza clienti di Coinbase, con sede in India.

L'individuo è stato colto in flagrante mentre scattava foto al computer da lavoro con il proprio telefono cellulare.

Secondo quanto dichiarato da ex dipendenti di TaskUs, il fornitore, insieme a un presunto complice, ha venduto i dati dei clienti di Coinbase in cambio di tangenti.

Fonti affermano che Coinbase è stata immediatamente informata dopo l'incidente, avvenuto a Indore, in India, il che suggerisce che l'azienda fosse a conoscenza della violazione ben prima della sua segnalazione alle autorità il 14 maggio.

Tre ex dipendenti di TaskUs e un'altra fonte hanno dichiarato che oltre 200 lavoratori sono stati licenziati in un'ondata di licenziamenti di massa che si è verificata in seguito, sebbene solo due fossero coinvolti nella violazione.

I dettagli, resi pubblici per la prima volta da Reuters, suggeriscono che Coinbase potesse essere a conoscenza della violazione molto prima della sua divulgazione ai regolatori il 14 maggio.

Nella sua comunicazione alla SEC, Coinbase ha confermato che in mesi precedenti dei fornitori esterni avevano avuto accesso a dati sensibili "senza necessità aziendale", ma ha affermato di essersi resa conto dell'entità della violazione solo dopo un tentativo di estorsione da 20 milioni di dollari da parte degli hacker l'11 maggio.

L'azienda ha dichiarato di aver poi scoperto che l'accesso non autorizzato faceva parte di una campagna più ampia.

Coinbase ha confermato a Reuters di aver interrotto ogni rapporto con il personale di TaskUs coinvolto e con altri agenti esteri, e di aver rafforzato i controlli di sicurezza interni.

TaskUs, in una dichiarazione rilasciata all'inizio di quest'anno, ha confermato il licenziamento di due dipendenti e ha affermato che la violazione faceva parte di una più ampia e coordinata campagna criminale mirata a uno dei suoi clienti, sebbene all'epoca non abbia rivelato il nome del cliente.

Una fonte ha confermato che il cliente era effettivamente Coinbase.

Al momento, non è chiaro se siano stati effettuati arresti.

Per TaskUs, questa non è la prima volta che si trova a dover affrontare un'indagine a seguito di una violazione dei dati legata alle criptovalute.

Nel 2022, l'azienda è stata citata in giudizio in diverse cause legali insieme a Shopify a seguito di una violazione del 2020 che coinvolgeva Ledger SAS, un fornitore di wallet hardware.

Coinbase sotto la lente d'ingrandimento legale

Coinbase ha rivelato per la prima volta la violazione dei dati nella sua documentazione normativa di maggio, dove ha dichiarato che un sottoinsieme di utenti aveva avuto i propri dati compromessi tramite fornitori terzi.

Sebbene l'azienda abbia dichiarato che non sono state rubate né password né somme di denaro, ha confermato che sono stati esposti dati personali come nomi, indirizzi e-mail e, in alcuni casi, numeri di previdenza sociale parziali e documenti d'identità.

L'incidente ha innescato un'indagine penale da parte del Dipartimento di Giustizia degli Stati Uniti, con la divisione penale dell'agenzia che, a quanto si dice, sta collaborando con le agenzie internazionali di applicazione della legge per valutare se i controlli interni di Coinbase fossero sufficienti a prevenire un accesso di questo tipo.

A parte questo, Coinbase è coinvolta in diverse cause legali negli Stati Uniti, tra cui un caso federale intentato a Manhattan che accusa sia Coinbase che TaskUs di negligenza.

I querelanti sostengono che le aziende non hanno implementato adeguate misure di sicurezza, consentendo a fornitori disonesti di divulgare dati KYC riservati.

Le cause legali chiedono risarcimenti ai danni degli utenti coinvolti, e alcuni sostengono che Coinbase abbia ritardato la divulgazione pubblica nonostante avesse avuto conoscenza anticipata della violazione.

Le nuove rivelazioni di Reuters, secondo cui Coinbase è stata informata dell'incidente già a gennaio, potrebbero complicare la sua difesa legale.

I querelanti potrebbero citare questa cronologia per sostenere che l'azienda ha trattenuto informazioni importanti dai regolatori e dai clienti.

Potrebbe inoltre rafforzare le affermazioni secondo cui la supervisione da parte di Coinbase dei suoi partner esterni è stata insufficiente, aumentando la pressione sulla SEC e sugli altri enti di regolamentazione affinché intraprendano azioni di contrasto.