Coinbaseの内部告発：外注のカスタマーサポートが1万件以上の顧客情報を盗撮し、1件200ドルで販売。

原文作者：Ben Weiss，《财富》
文章来源于：Yuliya，PANews

今年 5 月、Coinbase はハッカーが数千人の顧客の個人データを盗み、その情報を利用して被害者に暗号資産を渡させる詐欺を行ったことを明らかにしました。Coinbase はこの事件により最大で 4 億ドルの損失が発生する可能性があると述べています。公式の説明によれば、このハッキング攻撃はインドの外注会社の内部者に起因するものであるが、アメリカの最大の暗号取引所は具体的な関与者の情報を明らかにしていません。最新の裁判所の文書では、容疑者の身元とこの事件における役割が明らかにされており、これは Coinbase の歴史の中で最も深刻なセキュリティの脆弱性です。

集団訴訟を担当する法律事務所 Greenbaum Olbrantz が火曜日に提出した修正訴状によれば、このハッキング事件は TaskUs の従業員 Ashita Mishra に関連しています。TaskUs はテキサス州に本社を置く上場企業で、主に大手テクノロジー企業に対して外注のカスタマーサポートを提供し、低コストの労働市場で事業を展開しています。Mishra は TaskUs のインド・インドールにあるサービスセンターで働いていました。

訴訟は、2024 年 9 月から Mishra が社会保障番号や銀行口座情報などの機密顧客データを盗み始めたと主張しています。彼女はこれらの情報をハッカーに売ることに同意し、ハッカーはその後 Coinbase の従業員を装い、被害者に暗号資産を移転させるように誘惑しました。

2024 年 9 月から 2025 年 1 月にかけて、Mishra は別の共犯者と共に、さらに多くの TaskUs の従業員を募集して顧客情報を盗む活動を行い、「複雑な放射状の陰謀ネットワーク」を形成し、TaskUs のコンピュータを通じて Coinbase の顧客データを犯罪者に送信しました。訴状は、元 TaskUs の従業員の証言を引用し、チームの監督者や運営マネージャーも関与していたと述べています。

TaskUs が最終的に問題に気づいたとき、Mishra の携帯電話には 1 万人以上の Coinbase 顧客のデータが保存されていました。訴状は、Mishra とその共犯者が各写真につき 200 ドルの報酬を得ており、時には彼女が 1 日に 200 枚もの Coinbase 顧客アカウントの写真を撮影していたことを指摘しています。Coinbase は規制文書で、最終的に影響を受けた顧客は 6.9 万人を超えると明らかにしました。

『フォーチュン』の以前の報道によれば、この贈収賄計画の背後には「the Comm」という名の緩やかなハッカー組織に属する十代や二十代の若者たちがいるようです。

データ盗難が 2024 年 9 月から始まったという主張は重要であり、なぜなら Coinbase は以前、攻撃が 12 月下旬に発生したと述べていたからです。

別の注目すべき展開として、TaskUs は今月、外部の供給業者だけでなく、Coinbase の内部従業員もこのハッキング事件に関与していると主張しましたが、同社はさらに詳しい説明を行っていません。

事件が明るみに出た後、Coinbase の広報担当者は『フォーチュン』に対し、「私たちは直ちに影響を受けたユーザーと規制当局に通知し、影響を受けた顧客に補償を行い、供給業者と内部者に対する管理を強化し、TaskUs との契約を終了しました。私たちは犯罪者に身代金を支払うことを拒否し、代わりに 2000 万ドルの報奨金を設け、容疑者の逮捕と有罪判決につながる情報を募集しています。」と述べました。

修正訴状に対して、TaskUs はすぐには反応しませんでした。『フォーチュン』も Ashita Mishra の連絡先をすぐに見つけることができませんでした。

TaskUs は以前、『フォーチュン』に対し、「当社は顧客およびそのユーザーデータの安全を最優先事項と考え、世界的な安全プロトコルとトレーニングプログラムを継続的に強化します。」と述べていました。

一連の隠蔽行為

訴状に描かれた物語は、今年最大の暗号通貨ハッキング事件の一つであり、Coinbase の十年以上の歴史の中で最も深刻な脆弱性に関する最も詳細な記録です。

他の原告の弁護士は以前、このハッキング事件について Coinbase を訴えており、Coinbase はこれらの訴訟を仲裁手続きに持ち込むことを推進してきました。仲裁は企業が財務的損失やネガティブな世論を軽減するのに役立つため、集団訴訟の法律事務所が外注先の TaskUs を訴え、Coinbase を直接訴えない理由を説明するかもしれません。

訴状の中で、法律事務所は TaskUs が「知っている者を黙らせるための措置を講じた」と非難しています。『フォーチュン』の以前の報道によれば、今年 1 月、TaskUs はインドールで 226 名の従業員を解雇しました。訴状は、元従業員の証言を引用し、会社がこの極端な措置を取ったのは、陰謀団体が「TaskUs のシステムに完全に浸透してしまい、会社がすべての関与者を特定できなくなった」ためだと述べています。

さらに、2 月 10 日、TaskUs は本来漏洩事件の調査を担当していた人事チームを解雇することを決定しました。訴状は、この行為が「一連の隠蔽行為」であると述べています。

Greenbaum Olbrantz が今回提出した新しい裁判所の文書は、5 月に最初に提出された訴状の修正版です。当時、Coinbase はハッキング事件を約 2 週間前に公表したばかりでした。この法律事務所は以前にも、航空会社が「窓側席」を販売しながら実際には窓のない壁際に乗客を配置していたとする訴訟など、注目を集める訴訟をいくつか提起してきました。

Coinbase はこの訴訟を、同取引所に関連するすべてのハッキング事件の合併訴訟に組み込もうとしています。一方、TaskUs はこの訴訟を却下し、より大規模な合併訴訟に組み込まれることを阻止するよう求める動議を提出しました。

Greenbaum Olbrantz の共同創設者 Carter Greenbaum は声明の中で、「私たちの修正訴状は、このデータ漏洩事件がどのように発生したかを前例のないほど明らかにしており、私たちはすべての関連責任者に対して法的責任を追及し続けます。」と述べました。