Coinbase wist al maanden van de datalek voordat het bekend werd gemaakt, aldus bronnen.

Een contractmedewerker van Coinbase zou in januari klantgegevens aan hackers hebben verkocht, maanden voordat de crypto exchange het recente KYC-datalek bekendmaakte.

Volgens een rapport van Reuters, dat zes betrokkenen citeert, speelde bij ten minste een deel van de inbreuk een in India gevestigde medewerker van TaskUs een rol. Dit is een Amerikaanse outsourcingfirma die de klantenservice van Coinbase verzorgde.

De persoon werd betrapt op het maken van foto's van haar werkcomputer met een persoonlijke telefoon.

Voormalige TaskUs-medewerkers verklaarden dat de aannemer, samen met een vermeende medeplichtige, gegevens van Coinbase-klanten verkocht in ruil voor steekpenningen.

Bronnen beweren dat Coinbase direct na het incident, dat zich in Indore, India, voordeed, op de hoogte werd gebracht, wat erop wijst dat het bedrijf al vóór de melding aan de toezichthouder op 14 mei op de hoogte was van de inbreuk.

Drie voormalige TaskUs-medewerkers en een andere bron zeiden dat meer dan 200 werknemers werden ontslagen in een massale reorganisatie die volgde, hoewel slechts twee betrokken waren bij de inbreuk.

De details, die voor het eerst door Reuters openbaar zijn gemaakt, suggereren dat Coinbase mogelijk al veel eerder dan de openbaarmaking aan de toezichthouders op 14 mei op de hoogte was van de inbreuk.

In de aangifte bij de SEC bevestigde Coinbase dat externe contractanten in voorgaande maanden toegang hadden verkregen tot gevoelige gegevens "zonder zakelijke noodzaak", maar beweerde dat het pas op 11 mei, na een afpersingspoging van 20 miljoen dollar door de hackers, zich realiseerde wat de omvang van de inbreuk was.

Het bedrijf verklaarde dat het vervolgens ontdekte dat de ongeoorloofde toegang deel uitmaakte van een bredere campagne.

Coinbase heeft tegen Reuters bevestigd dat het alle banden met het betrokken TaskUs-personeel en andere buitenlandse agenten heeft verbroken en de interne beveiligingscontroles heeft aangescherpt.

TaskUs erkende in een verklaring die eerder dit jaar werd uitgebracht het ontslag van twee werknemers en verklaarde dat de inbreuk deel uitmaakte van een bredere, gecoördineerde criminele campagne gericht op een van haar klanten, hoewel het bedrijf de naam van de klant destijds niet bekendmaakte.

Een bron bevestigde dat de klant inderdaad Coinbase was.

Op dit moment is het onduidelijk of er arrestaties zijn verricht.

Voor TaskUs is dit niet de eerste keer dat het onder de loep wordt genomen vanwege een datalek in verband met cryptocurrency.

In 2022 werd het bedrijf in meerdere rechtszaken genoemd, samen met Shopify, vanwege een inbreuk in 2020 waarbij Ledger SAS, een aanbieder van hardware wallets, betrokken was.

Coinbase onder juridisch onderzoek

Coinbase maakte de inbreuk voor het eerst bekend in zijn wettelijke aangifte van mei, waarin werd vermeld dat een deel van de gebruikers toegang had gekregen tot hun gegevens via gecompromitteerde externe contractanten.

Hoewel het bedrijf verklaarde dat er geen wachtwoorden of geld waren gestolen, bevestigde het wel dat persoonlijke gegevens zoals namen, e-mailadressen en in sommige gevallen gedeeltelijke burgerservicenummers en identiteitsdocumenten waren blootgesteld.

Het incident leidde tot een strafrechtelijk onderzoek door het Amerikaanse ministerie van Justitie, waarbij de strafrechtelijke afdeling van het ministerie naar verluidt samenwerkt met internationale wetshandhavingsinstanties om te beoordelen of de interne controles van Coinbase voldoende waren om dergelijke toegang te voorkomen.

Los daarvan wordt Coinbase in de VS met meerdere rechtszaken geconfronteerd, waaronder een federale zaak die in Manhattan is aangespannen en waarin nalatigheid wordt beweerd aan de kant van zowel Coinbase als TaskUs.

De eisers beweren dat de bedrijven geen adequate beveiligingsmaatregelen hebben getroffen, waardoor kwaadwillende aannemers gevoelige KYC-gegevens konden lekken.

De rechtszaken strekken zich uit tot het verhalen van schadevergoedingen voor de getroffen gebruikers, en sommigen beweren dat Coinbase de openbare bekendmaking heeft uitgesteld, ondanks dat ze al eerder op de hoogte waren van de inbreuk.

De nieuwe onthullingen van Reuters, dat Coinbase al in januari op de hoogte was gesteld van het incident, zouden de juridische verdediging van het bedrijf kunnen bemoeilijken.

Eisers kunnen deze tijdlijn aanhalen om te beweren dat het bedrijf belangrijke informatie heeft achtergehouden voor toezichthouders en klanten.

Het zou ook de bewering kunnen versterken dat het toezicht van Coinbase op zijn uitbestede partners onvoldoende was, waardoor de druk op de SEC en andere toezichthouders toeneemt om handhavingsmaatregelen te nemen.