Coinbase знала о утечке данных клиентов, но раскрыла информацию только после вымогательства в 20 миллионов долларов

Coinbase знала о своём утечке данных месяцев до ее раскрытия: Reuters

Компания Coinbase была уведомлена в январе о нарушении безопасности данных клиентов, которое произошло с участием её третьестороннего подрядчика TaskUs, задолго до публичного раскрытия этого инцидента, сообщает Reuters, ссылаясь на шесть источников, знакомых с ситуацией.

Согласно показаниям пятерых бывших сотрудников TaskUs, утечка была связана с работником поддержки TaskUs в Индии, который фотографировал экран своего рабочего компьютера с помощью телефона.

Сотрудник и предполагаемый соучастник подозревались в продаже информации пользователей Coinbase хакерам в обмен на взятки.

«Мы немедленно сообщили об этой активности клиенту», - заявила компания TaskUs Reuters, добавив, что уволила двух сотрудников за незаконный доступ и полагает, что утечка была частью более широкого и скоординированного плана, нацеленного на Coinbase и других поставщиков услуг.

Издание Decrypt обратилась к Coinbase и TaskUs за комментариями.

Coinbase раскрыла информацию о утечке в заявлении для SEC 14 мая и последовала за этим публикацией в блоге 15 мая.

Компания заявила, что хакеры получили имена клиентов, адреса, замаскированные банковские данные и документы, удостоверяющие личность, через скомпрометированный персонал поддержки. Финансовые средства или пароли не были украдены. 11 мая Coinbase получила требование о выкупе в размере 20 миллионов долларов в биткойнах, что побудило компанию публично раскрыть информацию.

Кроме того, была отмечена информация о том, что злоумышленник получил данные, заплатив нескольким подрядчикам или сотрудникам, занимающимся поддержкой, за информацию из внутренних систем Coinbase, и «эти случаи доступа такого персонала к данным без бизнес-необходимости были независимо зафиксированы системой мониторинга безопасности компании в предыдущие месяцы».

Reuters сообщало, что, по крайней мере, часть утечки была связана с TaskUs, американской аутсорсинговой компанией с более чем 61 000 сотрудников в 12 странах.

«Затем они попытались вымогать у Coinbase 20 миллионов долларов, чтобы замять это дело. Мы сказали нет», - написала компания. Генеральный директор Брайан Армстронг ответил, предложив награду в 20 миллионов долларов за информацию, ведущее к аресту нападавших. «Мы не будем платить ваш выкуп», - сказал он в видеообращении.

Компания заявила, что утечка затронула менее 1% ее пользователей. Coinbase с тех пор разорвала связи с TaskUs и другими зарубежными агентами, причастными к инциденту, и утверждает, что усилила внутренний контроль.

Утечка вызвала иск акционеров, поданный 22 мая в федеральный суд Пенсильвании. Инвестор Брэди Несслер обвинил Coinbase в нарушении законов о ценных бумагах из-за того, что компания не раскрыла утечку своевременно, и утверждал, что компания также скрывала предыдущие регулирующие проблемы.

Акции Coinbase упали на 7% после раскрытия информации, но с тех пор восстановились, поддержанные включением в S&P 500.

Редактировалось Себастьяном Синклером