Випадок витоку особистих даних Coinbase: працівники служби підтримки зберігали тисячі даних користувачів на мобільних телефонах, продаючи їх по 200 доларів за запис.

У цьому році Coinbase стало відомо про витік особистих даних, і тепер, з оприлюдненням судових документів, істина поступово спливає на поверхню. Повідомлення вказує на співробітника аутсорсингової компанії з обслуговування клієнтів TaskUs, яка, починаючи з вересня 2024 року, нібито викрала чутливі дані майже 70 тисяч користувачів Coinbase і продала їх хакерським угрупуванням, що можна вважати найсерйознішим інцидентом кібербезпеки в історії Coinbase.

Співробітник служби підтримки Coinbase став зрадником, дані семи тисяч клієнтів були витік.

Згідно з виправленою скаргою юридичної фірми Greenbaum Olbrantz, яка відповідає за цей колективний позов, причина полягає в компанії TaskUs, що має штаб-квартиру в Техасі, яка відповідає за аутсорсинг бізнесу підприємств на ринки дешевої робочої сили.

Серед них, працівниця служби підтримки TaskUs в Індії Ашита Мішра відповідала за обробку даних клієнтів Coinbase і стала провідною особою цього інциденту з кібербезпеки.

Документ зазначає, що Мішра не лише вкрала чутливу інформацію, що включає номер соціального страхування (, SSN) та банківські реквізити, але й продавала фото за ціною 200 доларів за штуку хакерам. Іноді вона робила до 200 знімків на день, а на телефоні зберігалося дані понад 10 тисяч клієнтів.

Організована злочинність: від співробітників до керівництва всі беруть участь у справі

Ще більш тривожним є те, що Мішра діяла не сама. Вона активно залучала інших працівників TaskUs до участі та сформувала команду з крадіжки даних, до якої входили як керівники, так і наглядачі. Ці дані врешті-решт потрапили до рук хакерської групи під назвою «the Comm», яка використовувала їх для обману інвесторів з метою отримання криптовалюти:

Це ретельно спланована радіаційна змова, яка передає дані клієнтів Coinbase з комп'ютера TaskUs злочинцям.

(Migos IG зазнав хакерської атаки, виявлено ризики KYC Coinbase: особисті дані засновника Solana були викрадені, вимагають 40 BTC)

Coinbase та TaskUs запроваджують стратегії, час їх реалізації викликає побоювання.

Варто зазначити, що час, коли були оприлюднені судові документи, не збігається з офіційною інформацією Coinbase. Coinbase раніше стверджував, що хакерські дії почалися в грудні 2024 року, але в позові розкрито, що вони почалися ще в вересні. Тим часом, TaskUs також звинуватив працівників Coinbase у причетності, але бракує подальших деталей.

(Coinbase безпекова буря триває: витік особистих даних користувачів у грудні було розкрито лише в травні, викликавши звинувачення в "умисному приховуванні" )

Стикаючись із цією кризою, Coinbase зайняла жорстку позицію, підкресливши, що в перший момент повідомила регуляторним органам і повністю компенсувала постраждалим, одночасно припинивши співпрацю з TaskUs та зміцнивши внутрішній контроль. Також було оголошено винагороду в 20 мільйонів доларів за інформацію, яка може допомогти виявити хакера.

З іншого боку, компанія TaskUs в січні цього року одноразово звільнила 226 співробітників, а наступного місяця ще й звільнила команду з управління персоналом, відповідальну за розслідування. Колишні співробітники заявляють, що компанія вжила «екстремальних заходів»:

Цей злочин широко проник у бізнес-мережу TaskUs, так що TaskUs не може ефективно підтвердити всіх причетних осіб.

Правова боротьба триває, відповідальність все ще неясна.

У зв'язку з численними колективними позовами, Coinbase прагне передати справу на арбітраж для зменшення втрат і негативного впливу. Greenbaum Olbrantz, в свою чергу, обрала подати позов проти TaskUs, звинувативши компанію в спробі приховати правду.

Однак цей інцидент все ще вказує на проблеми безпеки в криптоіндустрії, що швидко розширюється. Коли основні дані знаходяться в руках централізованих компаній, це стає потенційною вразливістю в інформаційній безпеці.

Ця стаття про витік особистих даних Coinbase: співробітники служби підтримки зберігали тисячі даних користувачів на мобільних телефонах, продаючи кожен запис за 200 доларів. Вперше з'явилася на Chain News ABMedia.