Coinbase, veri ihlalini ifşadan aylar önce biliyordu, kaynaklar iddia ediyor

Coinbase'de çalışan bir taşeronun, kripto para borsasının son KYC veri sızıntısını açıklamasından aylar önce, Ocak ayında müşteri verilerini bilgisayar korsanlarına sattığı iddia edildi.

Reuters'ın konuya yakın altı kişiye dayandırdığı habere göre, ihlalin en azından bir kısmında, Coinbase desteğini sağlayan USu dış kaynak firması TaskUs'ın Hindistan merkezli bir çalışanı yer alıyor.

Şahıs, iş bilgisayarının fotoğraflarını kişisel telefonuyla çekerken yakalandı.

Eski TaskUs çalışanları, yüklenicinin, iddia edilen bir suç ortağıyla birlikte rüşvet karşılığında Coinbase müşteri verilerini sattığını söyledi.

Kaynaklar, Hindistan'ın Indore kentinde meydana gelen olaydan sonra Coinbase'in derhal bilgilendirildiğini, bunun da şirketin 14 Mayıs'taki düzenleyici başvurusundan çok önce ihlalden haberdar olduğunu gösterdiğini iddia ediyor.

Üç eski TaskUs çalışanı ve başka bir kaynak, ardından gelen toplu işten çıkarmalarda 200'den fazla çalışanın işten çıkarıldığını, ancak ihlalde yalnızca ikisinin parmağı olduğunu söyledi.

Reuters'ın ilk kez kamuoyuna duyurduğu detaylar, Coinbase'in 14 Mayıs'ta düzenleyicilere bildirimde bulunmasından çok önce veri ihlalini bildiğini gösteriyor.

Coinbase, SEC'e yaptığı başvuruda, üçüncü taraf yüklenicilerin önceki aylarda "ticari ihtiyaç olmaksızın" hassas verilere eriştiğini doğruladı ancak ihlalin boyutunun ancak 11 Mayıs'ta bilgisayar korsanlarının 20 milyon dolarlık gasp girişiminden sonra farkına vardığını iddia etti.

Şirket, daha sonra yetkisiz erişimin daha geniş kapsamlı bir kampanyanın parçası olduğunu keşfettiğini söyledi.

Coinbase, Reuters'a yaptığı açıklamada, söz konusu TaskUs personeli ve diğer yurtdışı acenteleriyle tüm bağlarını sonlandırdığını ve iç güvenlik kontrollerini sıkılaştırdığını doğruladı.

TaskUs, bu yılın başlarında yayınladığı bir açıklamada iki çalışanının işten çıkarıldığını kabul etti ve söz konusu ihlalin, o sırada müşterisinin adını vermemekle birlikte, müşterilerinden birini hedef alan daha geniş kapsamlı ve koordineli bir suç kampanyasının parçası olduğunu belirtti.

Bir kaynak, söz konusu müşterinin Coinbase olduğunu doğruladı.

Şu ana kadar herhangi bir tutuklama yapılıp yapılmadığı henüz bilinmiyor.

TaskUs için kriptoyla ilgili veri ihlali nedeniyle ilk kez incelemeye alınmak söz konusu değil.

Şirket, 2022 yılında donanım cüzdanı sağlayıcısı Ledger SAS'ı içeren 2020 yılındaki bir ihlal nedeniyle Shopify ile birlikte birden fazla davada adı geçti.

Coinbase yasal inceleme altında

Coinbase, ilk olarak Mayıs ayındaki düzenleyici başvurusunda, kullanıcıların bir kısmının verilerine, tehlikeye atılmış üçüncü taraf yükleniciler aracılığıyla erişildiğini belirterek ihlali duyurdu.

Şirket, herhangi bir şifre veya paranın çalınmadığını belirtirken, isimler, e-posta adresleri ve bazı durumlarda kısmi Sosyal Güvenlik numaraları ve kimlik belgeleri gibi kişisel verilerin ifşa edildiğini doğruladı.

Olay, ABD Adalet Bakanlığı tarafından cezai soruşturma başlatılmasına yol açtı. Bakanlığın cezai biriminin, Coinbase'in iç kontrollerinin bu tür erişimleri engellemek için yeterli olup olmadığını değerlendirmek üzere uluslararası kolluk kuvvetleriyle birlikte çalıştığı bildirildi.

Coinbase ayrıca ABD'de çok sayıda davayla karşı karşıya. Bunlardan biri de Manhattan'da açılan ve hem Coinbase hem de TaskUs'ın ihmalkarlığından söz eden federal bir dava.

Davacılar, şirketlerin yeterli güvenlik önlemlerini uygulamadığını ve bu nedenle dolandırıcı yüklenicilerin hassas KYC verilerini sızdırmasına izin verildiğini iddia ediyor.

Açılan davalarda etkilenen kullanıcılar için tazminat talep ediliyor ve bazıları Coinbase'in ihlalden önceden haberdar olmasına rağmen kamuoyuna açıklamayı geciktirdiğini savunuyor.

Reuters'ın Coinbase'in olaydan Ocak ayı gibi erken bir tarihte haberdar edildiğine dair yeni ifşaları, şirketin hukuki savunmasını zorlaştırabilir.

Davacılar, şirketin düzenleyicilerden ve müşterilerden önemli bilgileri sakladığını iddia etmek için bu zaman çizelgesine atıfta bulunabilirler.

Ayrıca, Coinbase'in dış kaynak kullanan ortaklarına yönelik denetiminin yetersiz olduğu yönündeki iddiaları güçlendirebilir ve SEC ile diğer düzenleyiciler üzerinde yaptırım uygulanması yönündeki baskıyı artırabilir.