Coinbase在1月份就已知悉第三方承包商TaskUs涉及客戶資料洩露事件,比路透社週一報道的要早幾個月,報道引用了六名熟悉此事的訊息源。
據五名前TaskUs員工稱,這起資料洩露事件追溯到一名印度籍TaskUs支援人員,她曾用手機拍攝工作電腦螢幕。
這名員工及其涉嫌的同夥被懷疑透過收取賄賂,將Coinbase使用者資訊出售給駭客。
"我們立即向客戶報告了這一活動,"TaskUs告訴路透社,並補充稱已解僱了兩名因非法訪問而被開除的員工,並認為這起洩露事件是針對Coinbase和其他服務提供商的更大規模、有組織的攻擊活動的一部分。
Decrypt已聯絡Coinbase和TaskUs尋求評論。
Coinbase在5月14日的SEC檔案中披露了這起資料洩露事件,並於5月15日在部落格文章中跟進。
公司表示,駭客透過被入侵的支援人員獲取了客戶姓名、地址、掩碼銀行詳細資訊和身份證件。沒有資金或密碼被盜取。5月11日,Coinbase收到了2000萬比特幣的贖金要求,這促使其公開了這一資訊。
公司還表示,威脅行為者透過向多個承包商或支援角色的員工付款,獲取了內部Coinbase系統的資訊,並且"這些人員在沒有業務需求的情況下訪問資料的情況,已被公司的安全監控在之前幾個月獨立檢測到"。
路透社報道稱,資料洩露事件至少部分與TaskUs有關,這是一家在12個國家擁有超過61,000名員工的美國外包公司。
"他們隨後試圖向Coinbase勒索2000萬美元以掩蓋此事。我們拒絕了,"公司寫道。執行長布萊恩·阿姆斯特朗透過提供2000萬美元的懸賞,換取能夠導致攻擊者被捕的資訊。"我們不會支付你們的贖金,"他在影片宣告中說。
公司表示,這起資料洩露事件影響了不到1%的使用者。Coinbase已切斷與TaskUs和其他涉事海外代理的聯絡,並聲稱已加強內部控制。
這起資料洩露事件引發了5月22日在賓夕法尼亞州聯邦法院提起的股東訴訟。投資者布雷迪·內斯勒指控Coinbase未能及時披露資料洩露事件,違反了證券法,並聲稱公司還隱瞞了先前的監管問題。
Coinbase的股價在披露後下跌了7%,但隨後因被納入標普500指數而反彈。
