Coinbase mengetahui tentang pelanggaran data beberapa bulan sebelum pendedahan, dakwa sumber

Seorang kontraktor yang bekerja untuk Coinbase didakwa menjual data pelanggan kepada penggodam pada bulan Januari, beberapa bulan sebelum pertukaran crypto mendedahkan kebocoran data KYC baru-baru ini.

Menurut laporan Reuters yang memetik enam orang yang biasa dengan perkara itu, sekurang-kurangnya satu bahagian pelanggaran melibatkan pekerja TaskUs yang berpangkalan di India, firma penyumberan luar USu yang mengendalikan sokongan Coinbase.

Individu itu ditangkap mengambil gambar komputer kerjanya dengan telefon peribadi.

Bekas pekerja TaskUs berkata kontraktor itu, bersama-sama dengan rakan sejenayah yang didakwa, menjual data pelanggan Coinbase sebagai pertukaran untuk rasuah.

Sumber mendakwa bahawa Coinbase telah dimaklumkan serta-merta selepas insiden itu, yang berlaku di Indore, India, mencadangkan syarikat itu mempunyai pengetahuan awal tentang pelanggaran itu sebelum pemfailan peraturannya pada 14 Mei.

Tiga bekas pekerja TaskUs dan sumber lain berkata lebih 200 pekerja telah dipecat dalam pemberhentian besar-besaran yang menyusuli, walaupun hanya dua yang terlibat dalam pelanggaran itu.

Butiran, yang dilaporkan secara terbuka buat kali pertama oleh Reuters, mencadangkan Coinbase mungkin telah mengetahui tentang pelanggaran itu jauh sebelum pendedahan 14 Mei kepada pengawal selia.

Dalam pemfailan SECnya, Coinbase mengesahkan bahawa kontraktor pihak ketiga mengakses data sensitif "tanpa keperluan perniagaan" pada bulan sebelumnya tetapi mendakwa ia hanya menyedari tahap pelanggaran selepas percubaan peras ugut $20 juta daripada penggodam pada 11 Mei.

Syarikat itu berkata ia kemudian mendapati akses tanpa kebenaran itu adalah sebahagian daripada kempen yang lebih luas.

Coinbase mengesahkan kepada Reuters bahawa ia telah menamatkan semua hubungan dengan kakitangan TaskU yang terlibat dan ejen luar negara lain dan telah mengetatkan kawalan keselamatan dalaman.

TaskUs, dalam satu kenyataan yang dikeluarkan awal tahun ini, mengakui pemecatan dua pekerja dan menyatakan bahawa pelanggaran itu adalah sebahagian daripada kempen jenayah terkoordinasi yang lebih luas yang menyasarkan salah seorang pelanggannya, walaupun ia tidak menamakan pelanggan pada masa itu.

Satu sumber mengesahkan bahawa pelanggan itu sememangnya Coinbase.

Sehingga kini, tidak jelas sama ada sebarang tangkapan telah dibuat.

Bagi TaskU, ini bukan kali pertama ia menghadapi penelitian berhubung pelanggaran data berkaitan kripto.

Pada tahun 2022, syarikat itu dinamakan dalam beberapa tindakan undang-undang bersama Shopify atas pelanggaran 2020 yang melibatkan Ledger SAS, penyedia dompet perkakasan.

Coinbase di bawah penelitian undang-undang

Coinbase pertama kali mendedahkan pelanggaran itu dalam pemfailan peraturan Mei, di mana ia menyatakan bahawa subset pengguna telah mengakses data mereka melalui kontraktor pihak ketiga yang terjejas.

Walaupun syarikat itu berkata tiada kata laluan atau dana dicuri, ia mengesahkan bahawa data peribadi seperti nama, alamat e-mel, dan dalam beberapa kes, separa nombor Keselamatan Sosial dan dokumen ID terdedah.

Insiden itu mencetuskan siasatan jenayah oleh Jabatan Kehakiman AS, dengan bahagian jenayah agensi itu dilaporkan bekerjasama dengan agensi penguatkuasaan undang-undang antarabangsa untuk menilai sama ada kawalan dalaman Coinbase mencukupi untuk menghalang akses sedemikian.

Secara berasingan, Coinbase menghadapi pelbagai tindakan undang-undang di AS, termasuk kes persekutuan yang difailkan di Manhattan yang mendakwa kecuaian di pihak Coinbase dan TaskUs.

Plaintif mendakwa bahawa syarikat gagal melaksanakan perlindungan yang mencukupi, membenarkan kontraktor penyangak membocorkan data KYC yang sensitif.

Saman menuntut ganti rugi untuk pengguna yang terjejas, dan ada yang berpendapat bahawa Coinbase menangguhkan pendedahan awam walaupun mempunyai pengetahuan terdahulu tentang pelanggaran itu.

Pendedahan baru dari Reuters bahawa Coinbase telah dimaklumkan mengenai kejadian itu seawal Januari boleh merumitkan pembelaan undang-undangnya.

Plaintif boleh memetik garis masa ini untuk berhujah bahawa syarikat itu menahan maklumat penting daripada pengawal selia dan pelanggan.

Ia juga boleh mengukuhkan dakwaan bahawa pengawasan Coinbase terhadap rakan kongsi penyumberan luarnya tidak mencukupi, meningkatkan tekanan ke atas SEC dan pengawal selia lain untuk meneruskan tindakan penguatkuasaan.