Fontes afirmam que a Coinbase sabia da violação de dados meses antes da divulgação.

Um contratado da Coinbase teria vendido dados de clientes para hackers em janeiro, meses antes da exchange de criptomoedas divulgar o recente vazamento de dados KYC.

De acordo com uma reportagem da Reuters que cita seis pessoas familiarizadas com o assunto, pelo menos uma parte da violação envolveu um funcionário da TaskUs, uma empresa americana de terceirização que cuidava do suporte da Coinbase, com sede na Índia.

A pessoa foi pega tirando fotos do computador de trabalho com um celular pessoal.

Ex-funcionários da TaskUs afirmaram que o contratado, juntamente com um suposto cúmplice, vendeu dados de clientes da Coinbase em troca de subornos.

Fontes afirmam que a Coinbase foi notificada imediatamente após o incidente, que ocorreu em Indore, na Índia, sugerindo que a empresa tinha conhecimento prévio da violação muito antes do seu pedido de registro regulamentar de 14 de maio.

Três ex-funcionários da TaskUs e outra fonte disseram que mais de 200 trabalhadores foram demitidos em uma onda de demissões em massa que se seguiu, embora apenas dois tenham sido implicados na violação de dados.

Os detalhes, divulgados publicamente pela primeira vez pela Reuters, sugerem que a Coinbase pode ter tido conhecimento da violação muito antes de sua divulgação aos reguladores em 14 de maio.

Em seu pedido à SEC, a Coinbase confirmou que contratados terceirizados acessaram dados confidenciais "sem necessidade comercial" em meses anteriores, mas alegou que só percebeu a extensão da violação após uma tentativa de extorsão de US$ 20 milhões por parte dos hackers em 11 de maio.

A empresa disse que descobriu posteriormente que o acesso não autorizado fazia parte de uma campanha mais ampla.

A Coinbase confirmou à Reuters que havia rompido todos os laços com os funcionários da TaskUs e outros agentes estrangeiros envolvidos e que havia reforçado os controles de segurança internos.

A TaskUs, em um comunicado divulgado no início deste ano, reconheceu a demissão de dois funcionários e afirmou que a violação fazia parte de uma campanha criminosa coordenada e mais ampla, que tinha como alvo um de seus clientes, embora não tenha revelado o nome do cliente na época.

Uma fonte confirmou que o cliente era, de fato, a Coinbase.

Até o momento, não está claro se houve alguma prisão.

Para a TaskUs, esta não é a primeira vez que enfrenta escrutínio por causa de uma violação de dados relacionada a criptomoedas.

Em 2022, a empresa foi nomeada em vários processos judiciais juntamente com a Shopify por causa de uma violação de dados de 2020 envolvendo a Ledger SAS, uma fornecedora de carteiras de hardware.

Coinbase sob escrutínio legal.

A Coinbase divulgou a violação pela primeira vez em seu relatório regulatório de maio, onde declarou que um subconjunto de usuários teve seus dados acessados por meio de contratados terceiros comprometidos.

Embora a empresa tenha afirmado que nenhuma senha ou fundos foram roubados, confirmou que dados pessoais, como nomes, endereços de e-mail e, em alguns casos, números de seguridade social e documentos de identificação parciais, foram expostos.

O incidente desencadeou uma investigação criminal por parte do Departamento de Justiça dos EUA, com a divisão criminal da agência trabalhando, segundo relatos, com agências internacionais de aplicação da lei para avaliar se os controles internos da Coinbase eram suficientes para impedir tal acesso.

Separadamente, a Coinbase está enfrentando vários processos nos EUA, incluindo um caso federal movido em Manhattan que alega negligência por parte da Coinbase e da TaskUs.

Os autores da ação alegam que as empresas falharam em implementar salvaguardas adequadas, permitindo que contratados desonestos vazassem dados sensíveis de KYC (Know Your Customer - Conheça Seu Cliente).

As ações judiciais buscam indenizações para os usuários afetados, e alguns argumentam que a Coinbase atrasou a divulgação pública apesar de ter conhecimento prévio da violação.

As novas revelações da Reuters de que a Coinbase foi notificada do incidente já em janeiro podem complicar sua defesa legal.

Os autores da ação podem citar esta cronologia para argumentar que a empresa reteve informações relevantes dos reguladores e dos clientes.

Isso também poderia reforçar as alegações de que a supervisão da Coinbase sobre seus parceiros terceirizados foi insuficiente, aumentando a pressão sobre a SEC e outros órgãos reguladores para tomar medidas de fiscalização.