Un nuovo report rivela che Coinbase era a conoscenza già a gennaio 2025 della fuga dei dati clienti, attraverso gli insider. Anche il suo partner in outsourcing, TaskUs, aveva addirittura licenziato i due dipendenti a inizio anno, per aver avuto accesso illegale alle informazioni di un cliente.
Summary
Coinbase sapeva della fuga dei dati già da quattro mesi prima della violazione
Stando quanto riportato, pare che Coinbase sapeva già della fuga dei dati dei suoi clienti ben quattro mesi prima della grande violazione.
In pratica, il crypto-exchange aveva dichiarato a maggio alla SEC di essere a conoscenza del fatto che gli hacker hanno avuto accesso ai dati dei dipendenti “senza necessità di lavoro” nei “mesi precedenti”. Solo quando Coinbase ha ricevuto la richiesta di estorsione l’11 maggio, allora la piattaforma USA ha compreso che tale accesso faceva parte di una violazione più ampia.
Come ben noto, i dipendenti insider sono stati localizzati presso il suo partner in outsourcing, TaskUs. L’episodio chiave di questa vicenda si è verificato a Indore, in India, dove la dipendente di TaskUs è stata sorpresa mentre fotografava lo schermo del computer di lavoro col cellulare personale.
Secondo cinque ex dipendenti della società, la donna era coinvolta in un’operazione illecita di trasferimento di dati sensibili dei clienti Coinbase a gruppi di hacker, forse in cambio di mazzette.
Il fatto è che tre di questi dipendenti, insieme a un’altra fonte informata sui fatti, hanno confermato che Coinbase era stata immediatamente informata dell’accaduto.
Questo episodio ha poi visto un’indagine interna che ha portato TaskUs a licenziare oltre 200 dipendenti.
Coinbase e la violazione stimata di 400 milioni di dollari: nuovi dubbi
In generale, per la violazione, Coinbase ha incolpato gli “agenti di supporto all’estero” ma ha anche affermato di sapere già a gennaio 2025 della fuga dati dei suoi clienti.
Nello specifico, Coinbase non ha rivelato chi fossero gli altri agenti stranieri. Nello stesso tempo, però, TaskUs ha dichiarato in un comunicato che due dipendenti sono stati licenziati all’inizio di quest’anno dopo aver avuto accesso illegale alle informazioni di un cliente, che non ha identificato.
Ecco cos’ha dichiarato TaskUs:
“Abbiamo immediatamente segnalato questa attività al cliente. Riteniamo che questi due individui siano stati reclutati nell’ambito di una campagna criminale molto più ampia e coordinata contro questo cliente, che ha avuto un impatto anche su una serie di altri fornitori di servizi per questo cliente”.
Persone che hanno familiarità con la questione hanno confermato che il cliente fosse Coinbase e che l’incidente è avvenuto a gennaio.
Ad ogni modo, già la settimana scorsa, pare che Coinbase abbia intentato una causa legale contro TaskUs presso il tribunale federale di Manhattan.
Ora però con i nuovi dettagli e dichiarazioni di Coinbase, potrebbero sollevarsi nuovi dubbi proprio sulla piattaforma USA e sulla sua conoscenza della fuga dei dati dei suoi clienti da ben quattro mesi.
Ad ogni modo, Coinbase ha stimato che tale violazione possa costare fino a 400 milioni di dollari.
La class action per presunte violazioni della legge sulla privacy biometrica
A metà maggio, Coinbase è sotto accusa in una class action per presunte violazione della legge sulla privacy biometrica dell’Illinois.
La vicenda solleva interrogativi profondi sulla gestione dei dati sensibili da parte dei crypto-exchange e accusa Coinbase di non aver rispettato obblighi fondamentali previsti dal Biometric Information Privacy Act (BIPA), la normativa statale in materia.
In pratica, pare che il gruppo di utenti sostenga che Coinbase non avrebbe fornito alcuna notifica formale o consenso informato agli interessati, durante la sua raccolta di dati facciali di massa.
Se tale accusa fosse confermata, potrebbe ridefinire il modo in cui tutte le piattaforme fintech trattano uno dei dati personali più delicati: la biometria.
