原文:Ben Weiss,《财富》
编译:Yuliya,PANews
原标题:Coinbase史上最严重泄密案内鬼曝光,外包客服手机偷拍上万客户资料,一张照片卖200美金
今年5月,Coinbase披露黑客窃取了数千名客户的个人数据,并利用这些信息诱骗受害者交出加密资产。Coinbase表示此次事件可能导致其损失高达4亿美元。根据官方说法,此次黑客攻击源自印度一家外包公司的内部人员,但美国这家最大加密交易所一直未透露具体涉案人员信息。最新的法院文件则揭示了一名嫌疑人的身份及其在此次事件中所扮演的角色,这也是Coinbase历史上最严重的一次安全漏洞。
根据集体诉讼律所Greenbaum Olbrantz周二提交的修正诉状,此次黑客事件与TaskUs员工Ashita Mishra有关。TaskUs是一家总部位于德州的上市公司,主要业务是为大型科技公司提供外包客服支持,并在低成本劳动力市场开展业务。Mishra就职于TaskUs位于印度印多尔的服务中心。
诉讼指称,自2024年9月起,Mishra开始窃取机密客户数据,包括社会安全号码和银行账户信息。她同意将这些信息出售给黑客,黑客随后冒充Coinbase员工,诱骗受害者转移加密资产。
从2024年9月至2025年1月,Mishra与另一名同伙招募更多TaskUs员工参与窃取客户信息,形成了一个“复杂的辐射式阴谋网络”,通过TaskUs电脑将Coinbase客户数据输送给犯罪分子。诉状援引一名前TaskUs员工的说法称,甚至连团队主管和运营经理也参与其中。
当TaskUs最终意识到问题时,Mishra的手机中已保存超过1万名Coinbase客户的数据。诉状指出,Mishra及其同伙每张照片可获得200美元的报酬,有时她一天会拍摄多达200张Coinbase客户账户的照片。Coinbase在监管文件中披露,最终受影响的客户超过6.9万人。
根据《财富》此前报道,此次行贿计划的幕后主谋似乎是一些十几岁或二十出头的年轻人,他们隶属于一个名为“the Comm”的松散黑客组织。
有关数据盗窃从2024年9月开始的指控意义重大,因为Coinbase此前曾表示攻击发生在12月下旬。
在另一项值得注意的发展中,TaskUs本月声称,不仅外部供应商,Coinbase内部员工也涉及此次黑客事件,但该公司并未进一步说明。
事件曝光后,Coinbase一名发言人向《财富》表示:“我们立即通知了受影响用户和监管机构,补偿了受影响的客户,加强了对供应商和内部人员的管控,并终止了与TaskUs的合作关系。我们拒绝向犯罪分子支付赎金,而是设立了2000万美元的奖励,用于征集能导致嫌犯被捕和定罪的信息。”
对于修正诉状,TaskUs未立即作出回应。《财富》也未能立即找到Ashita Mishra的联系方式。
TaskUs此前曾对《财富》表示:“公司将客户及其用户数据的安全视为最高优先事项,并会持续加强全球安全协议与培训项目。”
一系列的掩盖行为
诉状所描绘的故事,是迄今为止关于今年最大加密货币黑客事件之一、也是Coinbase十余年历史中最严重漏洞的最详细记录。
其他原告律师此前已就此次黑客事件起诉Coinbase,而Coinbase一直推动将这些诉讼纳入仲裁程序。仲裁历来帮助企业减轻财务损失和负面舆论,这或许也解释了为什么该集体诉讼律所选择起诉外包方TaskUs,而不是直接起诉Coinbase。
在诉状中,该律所指控TaskUs“采取措施让知情者保持沉默”。据《财富》此前报道,今年1月,TaskUs在印多尔解雇了226名员工。诉状援引一名前员工的说法称,公司采取这一极端举措,是因为密谋团体“已如此全面渗透到TaskUs系统中,以至于公司无法识别所有涉案人员”。
此外,在2月10日,TaskUs决定解雇原本负责调查泄密事件的人力资源团队。诉状称,这种做法是一种“一系列的掩盖行为”。
Greenbaum Olbrantz此次提交的新法院文件,是对5月最初诉状的修正版。当时Coinbase刚披露黑客事件约两周。该律所此前曾发起多起高调诉讼,包括指控航空公司出售“靠窗座位”,却实际将乘客安排在没有窗户的墙边。
Coinbase方面则试图将这起诉讼纳入针对该交易所所有黑客相关案件的合并诉讼中。而TaskUs则提出动议,要求驳回这起诉讼,并阻止其被纳入更大范围的合并诉讼。
Greenbaum Olbrantz联合创始人Carter Greenbaum在一份声明中表示:“我们的修正诉状前所未有地揭示了此次数据泄露事件是如何发生的,我们将继续努力追究所有相关责任方的法律责任。”
Twitter:https://twitter.com/BitpushNewsCN
比推 TG 交流群:https://t.me/BitPushCommunity
比推 TG 订阅: https://t.me/bitpush
