新たに公開された裁判資料により、コインベースのデータ漏洩事件の詳細が明らかになった。取引所が発表したところによれば、この事件は月間アクティブユーザーの「1%未満」に影響を与えたとされるが、主要な容疑者が特定された。
裁判資料によると、コインベースの外部委託先であるカスタマーサービス会社TaskUsの従業員が、社会保障番号や銀行口座情報などの機密顧客情報を盗んだとされている。
Sponsored裁判資料が示すコインベースのデータ漏洩に関与した内部者の陰謀
この事件は2025年5月に公に知られることとなった。当時、コインベースは攻撃者が不正なサポートエージェントを買収し、ユーザーデータにアクセスしたと発表した。BeInCryptoは報じたところによれば、悪意のある者たちは2000万ドルの身代金を要求した。
取引所はこれを支払うことを拒否し、代わりに攻撃の背後にいる者を特定し起訴するための情報に対して2000万ドルの報奨金を発表した。現在、ニューヨーク南部地区の米国地方裁判所に提出された修正集団訴訟の訴状は、この漏洩がTaskUsにまで遡ることを示している。TaskUsはコインベースがカスタマーサポートのために利用していたビジネスプロセスアウトソーシング会社である。
「データ漏洩に詳しい関係者によれば、2024年に犯罪者たちはTaskUsの従業員をターゲットにして勧誘し、コインベースユーザーの個人情報を流出させる共謀に参加させるキャンペーンを開始した。2024年9月には、TaskUsの従業員アシタ・ミシュラがこの共謀に加わり、犯罪者に対して非常に機密性の高いコインベースユーザーデータを売ることに同意した」と訴状には記されている。
2024年9月から、インドのTaskUs従業員アシタ・ミシュラが機密顧客記録を撮影し始めたとされる。ミシュラはその後、盗まれたデータを1枚あたり約200ドルで外部のハッカーに売却した。この漏洩の規模は広範囲に及んでいた。
TaskUsが2025年1月初旬に漏洩を発見した際、ミシュラの携帯電話には1万件以上のコインベース顧客のデータが保存されていた。記録によれば、彼女は1日に最大200枚の写真を撮影していた。
訴状によれば、これは複数のTaskUs従業員が盗まれたデータを組織犯罪者に流す広範な共謀であった。
Sponsored「ミシュラ氏と共犯者は、共謀に参加したTaskUs従業員の小規模なグループを運営していた」と文書は明らかにしている。
さらに、訴状は2025年1月初旬に漏洩を発見し、インド拠点の約300人の従業員を解雇したにもかかわらず、TaskUsとコインベースが顧客に即座に通知しなかったことを強調している。テキストによれば、
「2025年1月にデータ漏洩を認識した時点から2025年5月までの間、TaskUsとコインベースはそれぞれの会社に影響を与える重大なデータ漏洩を認識していないとForm 10-Kで開示していた。」
一方、盗まれた情報を使用して、詐欺師たちはコインベースの代表者を装い、被害者に暗号資産を不正なウォレットに送金させた。複数の原告は、この漏洩により生涯の貯蓄や退職金が消えたと報告している。
「犯罪者たちは標準的な手口を利用して計画を実行し、コインベースの推定によれば、無防備な被害者から最大4億ドルを盗むことに成功した」と訴訟は指摘している。
この漏洩は広範な批判を引き起こし、ユーザーがフィッシングやなりすましの標的にされたと報告した。さらに、コインベースは株価の下落に伴う訴訟に直面し、投資家に大きな損失をもたらした。
その後、コインベースは関与したTaskUsの職員との関係を断ち、より厳格な管理を実施した。
「影響を受けたユーザーと規制当局に即座に通知し、影響を受けた顧客に補償を行い、ベンダーと内部管理を強化し、TaskUsとの関係を終了しました」とコインベースはFortuneに語った。
防御をさらに強化するために、コインベースはリモートワークポリシーを厳格化し、内部の脅威を減らし、北朝鮮の工作員を含む外国の工作員による浸透を防ぐとしている。
コインベースの漏洩事件は、暗号資産業界における内部の脅威が引き起こす被害の規模を示している。高度な技術的防御があっても、第三者プロバイダーにおける人的脆弱性は依然として深刻なリスクであり、世界最大の取引所でさえもその抑制に苦慮している。
