ニューヨークでのTaskUsに対する集団訴訟の修正
ニューヨークでのTaskUsに対する集団訴訟の修正が、Coinbaseの顧客データに関連する侵害における体系的なセキュリティの失敗と隠蔽の新たな主張を追加しました。修正された訴状は、火曜日にニューヨーク南部地区で提出され、2024年末に始まった大規模な侵害のタイムラインに沿ってCoinbaseの顧客データがどのように扱われたかに関する以前の開示に重要な要素を追加しています。損失は最大で4億ドルに達すると推定されています。
犯罪的な賄賂スキーム
「これは2024年末に始まった犯罪的な賄賂スキームで、外部のベンダーと米国外の少数のCoinbase CXスタッフを利用し、月間取引ユーザーの1%未満に対してソーシャルエンジニアリング詐欺を可能にしました」とCoinbaseの広報担当者はDecryptに語りました。
暗号交換所は、影響を受けたユーザーと規制当局に直ちに通知し、ベンダーと内部の管理を強化しながら影響を受けた顧客に補償を行ったと述べています。Coinbaseはその後、TaskUsとの関係を終了し、「犯罪者に支払うことはせず、逮捕と有罪判決につながる情報に対して2000万ドルの報酬を創設した」と広報担当者はDecryptに確認しました。TaskUsはDecryptのコメント要請に直ちに応じませんでした。
訴状の重要な変更点
訴状の重要な変更点は、TaskUsのインドの業務内での協調的なスキームを説明しており、従業員が敏感なアカウント情報を撮影し、犯罪者に渡すために賄賂を受け取ったとされています。原告は、この陰謀がフロントラインのスタッフを超えて広がり、TaskUsが1月に約300人の従業員を解雇する原因となったと主張しています。
アウトソーシング企業の公の声明は、「数十人、あるいは数百人のTaskUsの従業員が関与するはるかに広範で協調的な犯罪キャンペーンを否定している」と訴状には記されています。
訴状はまた、TaskUsが侵害の範囲を隠蔽したと非難しています。原告によると、同社は「侵害について知識を持つ者を黙らせるための措置を講じ」、2月に侵害を調査するために任命された自社の人事担当者を解雇しました。その後、同社は規制当局に対して実質的な侵害はなかったと伝え、Coinbaseが5月に事件を認める前にBlackstoneを通じて16億ドルの買収を進めました。
TaskUsの法的責任
TaskUsの2月のForm 10-Kの提出書類には、Coinbaseの侵害に関連する要因は記載されておらず、これは同社が「会社に影響を与える実質的なデータ侵害を認識していなかった」と主張していることを意味していると、修正された訴状は主張しています。修正された訴状はまた、TaskUsがFTC法の第5条を無視したという主張を拡大し、その失敗を孤立したものではなく体系的なものとして位置づけています。
これらの基準は「企業が『不当』または『欺瞞的』な行為を避けるために何をすべきかを指導します」と、AR Media Consultingの公共問題弁護士兼CEOであるAndrew RossowはDecryptに語りました。
「すべてのガイダンスが法的に拘束力を持つわけではありませんが、それを無視することは企業が不注意または誤解を招くものであったことを示す可能性があります。」裁判所と規制当局は、侵害されたデータが人々をアイデンティティ盗難や財務的損失にさらすのに十分な敏感さを持っていたかどうかを検討しています。Rossowは、暗号化や多要素認証などの安全対策が採用されていたか、リスクが予見可能であったか、セキュリティの約束が現実と一致していたか、消費者が自分自身を保護する手段を持っていたかどうかも調査されると説明しました。
