Kilder hevder at Coinbase visste om datainnbruddet måneder før det ble avslørt

En entreprenør som jobber for Coinbase skal angivelig ha solgt kundedata til hackere i januar, måneder før kryptobørs avslørte den nylige KYC-datalekkasjen.

Ifølge en Reuters -rapport som siterer seks personer med kjennskap til saken, involverte minst én del av bruddet en India-basert ansatt hos TaskUs, et USU-outsourcingfirma som håndterte Coinbase-støtte.

Personen ble tatt på fersken mens hun tok bilder av jobb-PC-en sin med en privattelefon.

Tidligere TaskUs-ansatte sa at entreprenøren, sammen med en påstått medskyldig, solgte Coinbase-kundedata i bytte mot bestikkelser.

Kilder hevder at Coinbase ble umiddelbart varslet etter hendelsen, som skjedde i Indore, India, noe som tyder på at selskapet hadde forhåndskunnskap om bruddet lenge før innleveringen av regulatorisk informasjon 14. mai.

Tre tidligere TaskUs-ansatte og en annen kilde sa at mer enn 200 arbeidere ble oppsagt i en massepermittering som fulgte, selv om bare to var involvert i bruddet.

Detaljene, som ble offentliggjort for første gang av Reuters, tyder på at Coinbase kan ha visst om bruddet lenge før det ble offentliggjort for regulatorer 14. mai.

I sin SEC-rapport bekreftet Coinbase at tredjepartsleverandører hadde tilgang til sensitive data «uten forretningsbehov» i tidligere måneder, men hevdet at de først innså omfanget av bruddet etter et utpressingsforsøk på 20 millioner dollar fra hackerne 11. mai.

Selskapet sa at de deretter oppdaget at den uautoriserte tilgangen var en del av en større kampanje.

Coinbase bekreftet overfor Reuters at de siden har avsluttet alle bånd med det impliserte TaskUs-personellet og andre utenlandske agenter, og har strammet inn interne sikkerhetskontroller.

I en uttalelse utstedt tidligere i år erkjente TaskUs oppsigelsen av to ansatte og uttalte at bruddet var en del av en bredere, koordinert kriminell kampanje rettet mot en av deres kunder, selv om de ikke navnga klienten den gangen.

En kilde bekreftet at klienten faktisk var Coinbase.

Foreløpig er det uklart om noen arrestasjoner er foretatt.

For TaskUs er dette ikke første gang de har blitt gransket på grunn av et kryptorelatert datainnbrudd.

I 2022 ble selskapet navngitt i flere søksmål sammen med Shopify for et brudd i 2020 som involverte Ledger SAS, en leverandør av maskinvarelommebøker.

Coinbase under juridisk gransking

Coinbase avslørte først bruddet i sin regulatoriske innlevering i mai, hvor de opplyste at en delmengde av brukerne hadde tilgang til dataene sine gjennom kompromitterte tredjepartsleverandører.

Selv om selskapet sa at ingen passord eller midler ble stjålet, bekreftet de at personopplysninger som navn, e-postadresser og i noen tilfeller delvise personnummer og ID-dokumenter ble eksponert.

Hendelsen utløste en kriminell etterforskning fra det amerikanske justisdepartementet, der byråets kriminelle avdeling angivelig samarbeidet med internasjonale politimyndigheter for å vurdere om Coinbases interne kontroller var tilstrekkelige til å forhindre slik tilgang.

Coinbase står overfor flere søksmål i USA, inkludert en føderal sak anlagt på Manhattan som påstår uaktsomhet fra både Coinbase og TaskUs' side.

Saksøkerne hevder at selskapene ikke klarte å implementere tilstrekkelige sikkerhetstiltak, noe som tillot uærlige entreprenører å lekke sensitive KYC-data.

Søksmålene krever erstatning for berørte brukere, og noen hevder at Coinbase forsinket offentliggjøring til tross for at de hadde forhåndskunnskap om bruddet.

De nye avsløringene fra Reuters om at Coinbase ble varslet om hendelsen allerede i januar kan komplisere det juridiske forsvaret.

Saksøkerne kan vise til denne tidslinjen for å argumentere for at selskapet holdt tilbake vesentlig informasjon fra regulatorer og kunder.

Det kan også styrke påstander om at Coinbases tilsyn med sine outsourcingpartnere var utilstrekkelig, noe som øker presset på SEC og andre regulatorer til å iverksette håndhevingstiltak.