코인베이스는 1월에 제3자 계약업체 태스크어스와 관련된 고객 데이터 유출을 공개적으로 공개하기 몇 달 전에 알게 되었다고 로이터통신이 월요일에 이 사안을 잘 아는 6명의 출처를 인용해 보도했다.
5명의 전 태스크어스 직원에 따르면, 이 유출은 인도 기반 태스크어스 지원 요원이 자신의 업무용 컴퓨터 화면을 휴대폰으로 촬영하면서 발생했다.
해당 직원과 의심되는 공범은 뇌물을 대가로 해커들에게 코인베이스 사용자 정보를 판매한 것으로 의심받고 있다.
"우리는 즉시 이 활동을 고객에게 보고했다"고 태스크어스는 로이터통신에 말하며, 불법적인 접근으로 두 명의 직원을 해고했고 이 유출이 코인베이스와 다른 서비스 제공업체를 대상으로 한 더 광범위하고 조직적인 캠페인의 일부라고 믿는다고 덧붙였다.
디크립트(Decrypt)는 코인베이스와 태스크어스에 논평을 요청했다.
코인베이스는 5월 14일 SEC 제출서류에서 이 유출을 공개했고 5월 15일에 블로그 게시물을 통해 후속 조치를 취했다.
회사는 해커들이 손상된 지원 직원을 통해 고객 이름, 주소, 마스킹된 은행 세부 정보, 신원 문서를 확보했다고 밝혔다. 자금이나 비밀번호는 탈취되지 않았다. 5월 11일, 코인베이스는 2천만 달러 규모의 비트코인 몸값 요구를 받았고, 이로 인해 정보를 공개하게 되었다.
또한 위협 행위자가 내부 코인베이스 시스템의 정보를 얻기 위해 여러 계약자나 지원 직원들에게 돈을 지불했으며, "이러한 업무상 필요 없이 데이터에 접근하는 직원들의 사례는 회사의 보안 모니터링에 의해 이전 몇 달 동안 독립적으로 감지되었다"고 밝혔다.
로이터통신은 유출의 최소한 일부가 12개국에 걸쳐 6만 1천 명 이상의 직원을 보유한 미국 아웃소싱 기업 태스크어스와 연관되어 있다고 보도했다.
"그들은 이를 은폐하기 위해 2천만 달러를 요구했다. 우리는 거절했다"고 회사는 말했다. CEO 브라이언 암스트롱은 공격자 체포로 이어질 수 있는 정보에 대해 2천만 달러 현상금을 제시했다. "우리는 몸값을 지불하지 않을 것"이라고 그는 영상 성명에서 말했다.
회사는 이 유출이 사용자의 1% 미만에 영향을 미쳤다고 밝혔다. 코인베이스는 이후 태스크어스와 이 사건에 연루된 다른 해외 요원들과의 관계를 끊었으며 내부 통제를 강화했다고 주장한다.
이 유출로 5월 22일 펜실베이아 연방 법원에 주주 소송이 제기되었다. 투자자 브래디 네슬러는 코인베이스가 유출을 신속하게 공개하지 않음으로써 증권법을 위반했다고 비난했으며, 회사가 이전의 규제 문제도 은폐했다고 주장했다.
코인베이스의 주가는 공개 이후 7% 하락했지만 S&P 500 지수 편입으로 인해 이후 회복되었다.
세바스찬 싱클레어가 편집함
