Coinbase kände till dataintrånget månader innan avslöjandet, hävdar källor

En entreprenör som arbetar för Coinbase påstås ha sålt kunddata till hackare i januari, månader innan kryptobörs avslöjade den senaste KYC-dataläckan.

Enligt en Reuters -rapport som citerar sex personer med kännedom om ärendet involverade åtminstone en del av intrånget en Indien-baserad anställd på TaskUs, ett USU-outsourcingföretag som hanterade Coinbase-support.

Personen ertappades med att ta bilder på sin arbetsdator med en privattelefon.

Tidigare TaskUs-anställda sa att entreprenören, tillsammans med en påstådd medbrottsling, sålde Coinbase-kunddata i utbyte mot mutor.

Källor hävdar att Coinbase omedelbart underrättades efter händelsen, som inträffade i Indore, Indien, vilket tyder på att företaget hade förhandskännedom om intrånget långt före sin myndighetsansökan den 14 maj.

Tre tidigare TaskUs-anställda och en annan källa uppgav att fler än 200 arbetare avskedades i en massuppsägning som följde, även om endast två var inblandade i intrånget.

Detaljerna, som rapporterats offentligt för första gången av Reuters, tyder på att Coinbase kan ha känt till intrånget långt innan det avslöjades för tillsynsmyndigheterna den 14 maj.

I sin SEC-anmälan bekräftade Coinbase att tredjepartsleverantörer hade åtkomst till känsliga uppgifter "utan affärsbehov" under tidigare månader, men hävdade att de först insåg omfattningen av intrånget efter ett utpressningsförsök på 20 miljoner dollar från hackarna den 11 maj.

Företaget sa att de sedan upptäckte att den obehöriga åtkomsten var en del av en större kampanj.

Coinbase bekräftade för Reuters att de sedan dess har avslutat alla band med den inblandade TaskUs-personalen och andra utländska agenter och har skärpt interna säkerhetskontroller.

I ett uttalande som utfärdades tidigare i år erkände TaskUs uppsägningen av två anställda och uppgav att intrånget var en del av en bredare, samordnad kriminell kampanj riktad mot en av deras kunder, även om de inte namngav klienten vid tidpunkten.

En källa bekräftade att klienten verkligen var Coinbase.

I nuläget är det oklart om några gripanden har gjorts.

För TaskUs är detta inte första gången de har granskats på grund av ett kryptorelaterat dataintrång.

År 2022 utsågs företaget till svars i flera stämningar tillsammans med Shopify för ett intrång 2020 som involverade Ledger SAS, en leverantör av hårdvaruplånböcker.

Coinbase under juridisk granskning

Coinbase avslöjade först intrånget i sin regulatoriska anmälan i maj, där de uppgav att en delmängd av användarna hade fått tillgång till sina uppgifter via komprometterade tredjepartsleverantörer.

Även om företaget uppgav att inga lösenord eller pengar stals, bekräftade de att personuppgifter som namn, e-postadresser och i vissa fall delvisa personnummer och ID-dokument hade exponerats.

Händelsen utlöste en brottsutredning av det amerikanska justitiedepartementet, där myndighetens kriminalavdelning enligt uppgift samarbetade med internationella brottsbekämpande myndigheter för att bedöma om Coinbases interna kontroller var tillräckliga för att förhindra sådan åtkomst.

Separat står Coinbase inför flera stämningar i USA, inklusive ett federalt mål som inlämnats på Manhattan som påstår vårdslöshet från både Coinbase och TaskUs sida.

Kärandena hävdar att företagen misslyckades med att implementera tillräckliga skyddsåtgärder, vilket gjorde det möjligt för oseriösa entreprenörer att läcka känslig KYC-data.

Stämningarna kräver skadestånd för berörda användare, och vissa hävdar att Coinbase försenade offentliggörandet trots att de hade förhandskunnighet om intrånget.

De nya avslöjandena från Reuters om att Coinbase underrättades om händelsen redan i januari kan komplicera deras rättsliga försvar.

Kärandena kan hänvisa till denna tidslinje för att hävda att företaget undanhöll väsentlig information från tillsynsmyndigheter och kunder.

Det skulle också kunna stärka påståenden om att Coinbases tillsyn av sina outsourcingpartners var otillräcklig, vilket ökar trycket på SEC och andra tillsynsmyndigheter att vidta verkställighetsåtgärder.