一份新报告显示,Coinbase 早在 2025 年 1 月就通过内部人士知晓了客户数据泄露事件。就连其外包合作伙伴 TaskUs 也在年初解雇了这两名员工,理由是他们非法获取了客户信息。
据报道, Coinbase 似乎在重大数据泄露事件发生前整整四个月就已经知道其客户数据泄露。
实际上,这家加密货币交易所早在 5 月份就已向美国证券交易委员会 (SEC) 声明,其已知晓黑客在“前几个月”曾“在非工作需要的情况下”访问员工数据。直到 5 月 11 日 Coinbase 收到勒索请求时,这家美国平台才意识到此类访问行为构成了更广泛违规行为的一部分。
众所周知,这些内部员工位于其外包合作伙伴TaskUs。此次事件的关键一幕发生在印度印多尔,一名TaskUs员工被发现用个人手机拍摄公司电脑屏幕。
据该公司五名前雇员透露,这名女子参与了一项非法行动,将敏感的 Coinbase 客户数据传输给黑客组织,可能是为了换取贿赂。
事实是,其中三名员工以及另一位了解情况的消息人士证实, Coinbase 已立即获悉此事。
这一事件引发了内部调查,最终导致 TaskUs 解雇了 200 多名员工。
总体而言, Coinbase 将此次违规行为归咎于“海外支持代理”,但同时表示,它早在 2025 年 1 月就知道其客户的数据泄露事件。
具体来说,Coinbase 没有透露其他外国代理人是谁。但与此同时,TaskUs 在一份新闻稿中表示,今年早些时候有两名员工因非法获取客户信息而被解雇,但该公司并未透露具体是谁。
TaskUs 声明如下:
我们立即向客户报告了这一活动。我们认为,这两名嫌疑人是针对该客户更广泛、更协调的犯罪活动的一部分,该活动还影响到了该客户的其他一些服务提供商。
知情人士证实,该客户是 Coinbase,事件发生在 1 月份。
无论如何,上周Coinbase似乎已在曼哈顿联邦法院对 TaskUs提起诉讼。
然而现在,随着 Coinbase 的新细节和声明,人们可能会对这个美国平台及其长达四个月以来对其客户数据泄露的认识产生新的怀疑。
无论如何,Coinbase 估计,此类违规行为的损失可能高达 4 亿美元。
5 月中旬, Coinbase因涉嫌违反伊利诺伊州生物识别隐私法而受到集体诉讼指控。
该事件引发了人们对加密货币交易所敏感数据管理的深刻质疑,并指责 Coinbase未遵守《生物识别信息隐私法》(BIPA)的基本义务,该法案是该问题的州法规。
实际上,该组用户似乎声称 Coinbase 在大规模收集面部数据的过程中没有向涉及的个人提供任何正式通知或知情同意。
如果这一指控得到证实,它可能会重新定义所有金融科技平台处理最敏感的个人数据之一——生物识别数据的方式。