Secondo quanto riferito, Coinbase è stata informata a gennaio che i dati dei clienti avrebbero potuto essere divulgati da un dipendente di una società di outsourcing, mesi prima che l'azienda rendesse pubblico l'incidente il mese scorso.

Parte della violazione, che Coinbase ha reso pubblica in un documento normativo depositato il 14 maggio, è avvenuta quando una dipendente indiana della società di outsourcing TaskUs è stata sorpresa a scattare foto al suo computer di lavoro con il suo telefono personale, secondo quanto riportato da Reuters il 3 giugno citando cinque ex dipendenti di TaskUs.

Gli ex dipendenti hanno affermato di essere stati informati che la dipendente e un presunto complice avrebbero fornito le informazioni dei clienti di Coinbase agli hacker in cambio di denaro. Coinbase sarebbe stata immediatamente informata dell'incidente.

TaskUs è una società americana di outsourcing di processi aziendali che opera in India e che, secondo la causa intentata a Manhattan il 27 maggio, avrebbe gestito l'assistenza clienti di Coinbase.

A gennaio, più di 200 dipendenti di TaskUs sono stati licenziati in un taglio massiccio del personale che all'epoca ha suscitato proteste e l'attenzione dei media indiani. Tuttavia, solo due dipendenti specifici sono stati identificati come i principali responsabili della violazione, che ha colpito quasi 70.000 clienti.

Screenshot dalla causa contro TaskUs. Fonte: PacerMonitor

Coinbase ha dichiarato di aver “interrotto i rapporti con il personale di TaskUs coinvolto e con altri agenti esteri, e di aver rafforzato i controlli”.

Coinbase ha rifiutato di pagare la richiesta di riscatto di 20 milioni di dollari avanzata dagli hacker dopo la fuga di dati degli utenti a metà maggio, cosa che ha spinto l'azienda a rendere pubblica la notizia.

Coinbase non ha risposto immediatamente alla richiesta di commento.

TaskUs accusata di crypto data breach nel 2022

TaskUs è stata accusata di un leak di dati relativi alle cripto nel 2022, quando Shopify e l'azienda sono state citate in giudizio per presunte mancanze nella protezione dei dati dei clienti derivanti da una violazione dei server del produttore di crypto wallet Ledger avvenuta due anni prima.

La causa sosteneva che Shopify e TaskUs fossero a conoscenza della violazione dei dati da oltre una settimana prima di avvisare i clienti.

I clienti di Ledger continuano a essere vittime di truffe e attacchi di phishing a seguito dell'hacking e della fuga di centinaia di migliaia di dati personali dei proprietari dell'hardware wallet.