Coinbaseの顧客データがTaskUsのインサイダーにより4億ドルのハッキングで盗まれる - どのようにして起こったのか？

TaskUsの従業員がCoinbaseの顧客データを数十万ドルの賄賂で売却したとして告発される

ニューヨークの新しい裁判所に提出された書類によると、コインベースのデータ流出には、アウトソーシング会社TaskUsの従業員の共謀が疑われており、内部関係者が機密顧客情報を犯罪グループに売却したと報じられている。

ニューヨーク南部地区で提出された修正集団訴訟の訴状では、2024年9月に始まったスキームの中心人物として、TaskUsのスタッフであるアシタ・ミシュラが挙げられている。

情報漏洩の経緯とインサイダーの役割

提出された書類によると、ミシュラは社会保障番号、銀行詳細、取引ログを含む10,000以上のCoinbaseアカウントから個人情報を収集した。

彼女は携帯電話で顧客データを撮影し、1日あたり最大200件の記録を取り込み、「ハブ・アンド・スポーク」作戦で同僚を募り、ハッカーに情報を渡したと報じられている。

参加者はネットワークの全容を知らないことが多く、内部関係者が一人露見してもスキームを継続することができた。

ハッカーたちは、「ザ・コム」と呼ばれる緩やかな集団に繋がっており、盗まれたデータを使ってコインベースのスタッフになりすまし、顧客を騙して暗号の保有量を明らかにさせたと言われている。

捜査当局は、TaskUsのインサイダーは少なくとも50万ドルの賄賂を得ており、ミシュラはデータレコード1件につき200ドルを受け取っていたと推定している。

TaskUsは情報漏洩の規模を隠蔽しようとしたと主張されている。

訴状によると、タスクユーズは2025年1月、情報漏洩を調査する人事担当者を含む約300人の従業員を解雇したという。

原告側は、同社は懸念を表明した内部関係者を黙らせようとし、規制当局には事件を軽視したと述べている。

TaskUs が2月に提出した Form 10-K には、Blackstone との16億ドルの買収契約を進めていたにもかかわらず、重大な違反に関する言及が一切なかったと報じられています。

Coinbaseは一貫してTaskUsから距離を置き、規制当局と影響を受けた顧客に直ちに通知し、影響を受けた口座に払い戻しを行い、社内のセキュリティを強化し、ベンダーとの提携を解消した。

コインベースの広報担当者は、同取引所は犯人への支払いを拒否し、代わりに逮捕と有罪判決につながる情報に対して2000万ドルの報奨金を設けたと述べた。

システミックな失敗と規制当局の監視

Coinbaseは、TaskUsのスタッフの行為は、単独ではなく、組織的なものであるとし、不公正な慣行に関するFTC法第5条に違反するとしている。

規制当局は、暗号化や多要素認証など、適切な保護措置が講じられていたかどうかを検証し、顧客が個人情報の盗難や金銭的損失にさらされる可能性を評価することが期待されている。

暗号産業アウトソーシングへの広範な影響

この事件は、取引所が個人データと金融資産の両方を管理する暗号業界において、重要な顧客サービスをアウトソーシングすることの脆弱性を浮き彫りにした。

アナリストたちは、この疑惑が立証されれば、取引所がオフショア業務を監督する方法に影響を与える可能性があると警告している。

以前、バイナンスとクラーケンは同様のソーシャル・エンジニアリングの脅威に直面し、ハッカーが従業員を買収して機密情報へのアクセスを試みていた。

バイナンスはAIを駆使した監視で不審な動きを止めたと報じられているが、クラーケンは侵害前にコインベースに潜在的なリスクについて警告していたと関与を否定した。

TaskUsの評判と今後の課題

テキサスに本社を置くタスクユーズ社は、今回の疑惑には回答していないが、セキュリティ・プロトコルを強化していると主張している。

法的・規制的な監視の強化は、システム上の失敗に対する世間の関心と相まって、信頼できるアウトソーシング・プロバイダーとしての同社の信頼性に永続的な影響を及ぼす可能性がある。

報告書によると、この侵害により1億8000万ドルから4億ドルの損失が発生し、少なくとも6万9000人のコインベースの顧客が影響を受けたと推定され、内部犯行による攻撃の規模と深刻さが強調されている。