Jak twierdzą źródła, Coinbase wiedziała o naruszeniu danych na kilka miesięcy przed ujawnieniem tego faktu.

Kontraktor pracujący dla Coinbase rzekomo sprzedał dane klientów hakerom w styczniu, na miesiące przed tym, jak giełda kryptowalut ujawniła niedawny wyciek danych KYC.

Jak wynika z raportu Reutersa, opublikowanego z cytatem sześciu osób zaznajomionych z tematem, przynajmniej jeden aspekt naruszenia bezpieczeństwa wiązał się z pracownikiem firmy TaskUs z siedzibą w Indiach, który był zatrudniony w firmie outsourcingowej z USA i zajmował się obsługą klienta Coinbase.

Osoba ta została przyłapana na robieniu zdjęć komputera służbowego za pomocą telefonu prywatnego.

Były pracownik TaskUs powiedział, że ten podwykonawca, wraz z domniemanym wspólnikiem, sprzedawał dane klientów Coinbase w zamian za łapówki.

Źródła twierdzą, że Coinbase zostało natychmiast powiadomione o incydencie, który miał miejsce w Indore w Indiach, co sugeruje, że firma miała wiedzę o naruszeniu bezpieczeństwa na długo przed złożeniem raportu do organów regulacyjnych 14 maja.

Trzej byli pracownicy TaskUs oraz kolejne źródło poinformowali, że w wyniku zwolnień grupowych, które nastąpiły po tym incydencie, pracę straciło ponad 200 osób, choć w naruszenie danych zaangażowane były tylko dwie osoby.

Szczegóły, które Reuters ujawnił publicznie po raz pierwszy, sugerują, że Coinbase mogło wiedzieć o naruszeniu bezpieczeństwa na długo przed ujawnieniem tego faktu organom regulacyjnym 14 maja.

W dokumentacji złożonej w SEC Coinbase potwierdziło, że w poprzednich miesiącach zewnętrzni kontraktorzy uzyskali dostęp do poufnych danych „bez uzasadnienia biznesowego”, ale twierdziło, że dopiero po próbie szantażu przez hakerów na kwotę 20 milionów dolarów 11 maja zdało sobie sprawę z rozmiaru naruszenia.

Firma podała, że następnie odkryła, iż nieuprawniony dostęp był częścią szerszej akcji.

Coinbase potwierdziło agencji Reuters, że zerwało wszelkie kontakty z oskarżonymi pracownikami TaskUs i innymi zagranicznymi agentami oraz wzmocniło wewnętrzne kontrole bezpieczeństwa.

TaskUs w oświadczeniu wydanym wcześniej w tym roku przyznał, że zwolnił dwóch pracowników i stwierdził, że naruszenie było częścią szerszej, skoordynowanej akcji przestępczej skierowanej przeciwko jednemu z jego klientów, choć wówczas nie ujawnił tożsamości klienta.

Źródło potwierdziło, że klientem był rzeczywiście Coinbase.

Na chwilę obecną nie wiadomo, czy dokonano jakichkolwiek aresztowań.

W przypadku firmy TaskUs to nie pierwszy raz, kiedy poddawana jest kontroli w związku z naruszeniem danych związanym z kryptowalutami.

W 2022 roku firma została pozwana wraz z Shopify w związku z naruszeniem danych z 2020 roku, w które zaangażowany był Ledger SAS, dostawca portfeli sprzętowych.

Coinbase pod lupą prawników

Coinbase po raz pierwszy ujawniło naruszenie danych w maju, w ramach regulacyjnego zgłoszenia, w którym stwierdziło, że dane podgrupy użytkowników zostały ujawnione za pośrednictwem naruszonych umów z zewnętrznymi dostawcami.

Chociaż firma oświadczyła, że nie doszło do kradzieży haseł ani środków finansowych, potwierdziła, że ujawnione zostały dane osobowe, takie jak imiona i nazwiska, adresy e-mail, a w niektórych przypadkach częściowe numery ubezpieczenia społecznego i dane z dokumentów tożsamości.

Incydent ten wywołał śledztwo karne ze strony Departamentu Sprawiedliwości Stanów Zjednoczonych, a dział karny tej agencji rzekomo współpracuje z międzynarodowymi organami ścigania w celu oceny, czy wewnętrzne kontrole Coinbase były wystarczające, aby zapobiec takiemu dostępowi.

Osobno, Coinbase stoi w obliczu wielu pozwów w USA, w tym federalnego pozwu wniesionego na Manhattanie, który zarzuca zaniedbanie zarówno Coinbase, jak i TaskUs.

Powodowie twierdzą, że firmy nie wdrożyły odpowiednich zabezpieczeń, co umożliwiło nieuczciwym kontraktorom wyciek poufnych danych KYC.

Pozwy domagają się odszkodowań dla poszkodowanych użytkowników, a niektórzy twierdzą, że Coinbase opóźniało ujawnienie informacji publicznych, mimo że miało wcześniejszą wiedzę o naruszeniu.

Nowe doniesienia agencji Reuters, że Coinbase zostało poinformowane o incydencie już w styczniu, mogą skomplikować jego obronę prawną.

Powodowie mogą powoływać się na tę oś czasu, aby argumentować, że firma zatajała istotne informacje przed organami regulacyjnymi i klientami.

Może to również wzmocnić twierdzenia, że nadzór Coinbase nad partnerami outsourcingowymi był niewystarczający, zwiększając presję na SEC i innych organów regulacyjnych, aby podjęły działania egzekucyjne.