Coinbase在1月份就已知悉第三方承包商TaskUs涉及客户数据泄露事件,比路透社周一报道的要早几个月,报道引用了六名熟悉此事的消息源。
据五名前TaskUs员工称,这起数据泄露事件追溯到一名印度籍TaskUs支持人员,她曾用手机拍摄工作电脑屏幕。
这名员工及其涉嫌的同伙被怀疑通过收取贿赂,将Coinbase用户信息出售给黑客。
"我们立即向客户报告了这一活动,"TaskUs告诉路透社,并补充称已解雇了两名因非法访问而被开除的员工,并认为这起泄露事件是针对Coinbase和其他服务提供商的更大规模、有组织的攻击活动的一部分。
Decrypt已联系Coinbase和TaskUs寻求评论。
Coinbase在5月14日的SEC文件中披露了这起数据泄露事件,并于5月15日在博客文章中跟进。
公司表示,黑客通过被入侵的支持人员获取了客户姓名、地址、掩码银行详细信息和身份证件。没有资金或密码被盗取。5月11日,Coinbase收到了2000万比特币的赎金要求,这促使其公开了这一信息。
公司还表示,威胁行为者通过向多个承包商或支持角色的员工付款,获取了内部Coinbase系统的信息,并且"这些人员在没有业务需求的情况下访问数据的情况,已被公司的安全监控在之前几个月独立检测到"。
路透社报道称,数据泄露事件至少部分与TaskUs有关,这是一家在12个国家拥有超过61,000名员工的美国外包公司。
"他们随后试图向Coinbase勒索2000万美元以掩盖此事。我们拒绝了,"公司写道。首席执行官布莱恩·阿姆斯特朗通过提供2000万美元的悬赏,换取能够导致攻击者被捕的信息。"我们不会支付你们的赎金,"他在视频声明中说。
公司表示,这起数据泄露事件影响了不到1%的用户。Coinbase已切断与TaskUs和其他涉事海外代理的联系,并声称已加强内部控制。
这起数据泄露事件引发了5月22日在宾夕法尼亚州联邦法院提起的股东诉讼。投资者布雷迪·内斯勒指控Coinbase未能及时披露数据泄露事件,违反了证券法,并声称公司还隐瞒了先前的监管问题。
Coinbase的股价在披露后下跌了7%,但随后因被纳入标普500指数而反弹。
