紐約南區法院提交的修訂集體訴訟文件,披露了 Coinbase 史上最大資料外洩事件的更多細節。(前情提要:6.9萬名Coinbase用戶資料外洩》官方:最高賠償4億美元、拒絕支付駭客贖金)(背景補充:Base鏈宣佈正探索「發行代幣」,Coinbase為何推翻不發幣承諾?)
美國上市加密貨幣交易所 Coinbase 在今年 5 月曾收到駭客勒索信,駭客聲稱掌握了 Coinbase 的內部系統細節與用戶個人資訊,隨後 Coinbase 向美國證券交易委員會(SEC)提交文件,確認 69,461 名用戶資料外洩。
受影響的資料包括姓名、地址、電話號碼、政府身份證件、銀行帳戶詳情及交易紀錄。雖然用戶登入憑證與核心錢包未直接受損,但駭客利用這些資料進行了大量社會工程攻擊,假冒 Coinbase 員工詐騙用戶,造成了重大財務損失。
Coinbase 在事件曝光後承諾將全額賠償受影響用戶,並提供一年免費身份保護服務,但因延遲至 5 月才公開事件(事發可追溯至 2024 年 9 月),引發了用戶與監管機構的批評。
紐約法院文件揭露:TaskUs 員工收賄洩密
近期,根據紐約南區法院提交的修訂集體訴訟文件顯示,這起資料外洩事件的幕後黑手指向了 Coinbase 的外包合作夥伴:美國業務流程外包公司 TaskUs。調查顯示,犯罪分子透過賄賂 TaskUs 在印度的客戶支援員工,成功滲透進入了 Coinbase 的營運系統,竊取了大量用戶資料。
據介紹,TaskUs 員工被指以每張照片 200 美元的價格,拍攝電腦螢幕上顯示的 Coinbase 客戶資料,並將照片傳遞給駭客。調查點名一名員工 Ashita Mishra 於 2024 年 9 月起參與犯罪,她每天最多拍攝 200 張照片,儲存超過 1 萬名用戶的個人資料於手機中。且犯罪團伙採取「中心輻射」模式,Mishra 與同夥指揮多個小團體執行任務,參與者彼此不知情。訴狀估計,TaskUs 員工透過此方式累計獲取了超過 50 萬美元的賄款,相當於印度逾 100 名員工的年薪總和。
文件指控 TaskUs 存在系統性管理失誤,未能有效監控員工行為。2025 年 1 月,TaskUs 發現外洩事件後便解僱了約 300 名涉案員工,但原告稱公司試圖壓制內部調查,甚至開除提出疑慮的人力資源人員,並延遲向 Coinbase 與公眾披露事件,導致損失擴大。
Coinbase 與 TaskUs 的後續處理
Coinbase 在事件曝光後迅速採取行動,終止了與涉案 TaskUs 員工及其他海外代理的合作,並懸賞 2,000 萬美元緝捕駭客。TaskUs 則面臨聲譽危機,作為全球知名的 BPO 供應商,其管理漏洞也影響了其與其他科技公司的合作。
分析師指出,這起事件凸顯出加密貨幣行業外包敏感業務的風險,未來可能將會促使交易所重新評估海外營運模式。目前此案仍在司法程序中,後續進展將進一步影響 Coinbase 與 TaskUs 的責任歸屬。
📍相關報導📍
Coinbase 也逃不過 996:加密貨幣交易所的焦慮與轉型之路
PolyMarket 舊將成立新預測市場,獲USV、Coinbase等1500萬美元種子輪投資
USD1 將上架 Coinbase,川普家族 WLFI 發行的穩定幣會改變市場?
