Coinbaseのデータ侵害について
Coinbaseは、顧客データの侵害が1月に発覚していたことを、公開開示の数ヶ月前に第三者契約者であるTaskUsの関与を認識していたと報じられています。ロイターは、事情に詳しい6人の情報源を引用してこの事実を伝えました。
侵害の詳細と経緯
5人の元TaskUs社員によると、この侵害はインドのTaskUsサポートエージェントによって引き起こされ、彼女が業務用コンピューターの画面を携帯電話で撮影していたことが判明しています。この社員と共犯者は、賄賂と引き換えにハッカーにCoinbaseユーザー情報を販売した疑いが持たれています。TaskUsはロイターに対し、
「我々は直ちにこの活動をクライアントに報告しました」と述べ、2人の社員を不正アクセスの理由で解雇したことを明らかにしました。
同社はこの侵害が広範かつ統制されたキャンペーンの一環であると信じていると付け加えました。
CoinbaseとTaskUsの両社にコメントを求めましたが、反応は得られていません。Coinbaseは5月14日にSECへの提出書類でこの侵害を開示し、5月15日にブログ記事を発表しました。
顧客データへの影響
Coinbaseによると、ハッカーは顧客の名前、住所、マスク化された銀行情報、身分証明書を、侵害されたサポートスタッフを通じて取得したとのことです。資金やパスワードは取得されていないとされています。また、5月11日にCoinbaseは2,000万ドルのビットコインの身代金要求を受け、この情報を一般に公開することになりました。
不正行為者は、内部のCoinbaseシステムから情報を得るために複数の契約者やサポート役割の社員に金銭を支払ったとされ、「こうした従業員が業務上の必要もなくデータにアクセスする事例は、数ヶ月前のセキュリティモニタリングで独立して検出された」と述べています。
TaskUsの反応とCoinbaseの行動
ロイターによると、侵害の一部は、アメリカのアウトソーシング企業TaskUsに関連していると報じられました。
「彼らはこれを隠すためにCoinbaseから2,000万ドルをゆすり取ろうとしました。我々はノーと言いました」とTaskUsは述べています。
CEOのブライアン・アームストロングは、攻撃者の逮捕に繋がる情報に2,000万ドルの懸賞金を提供すると約束しました。「我々はあなたの身代金を支払うつもりはありません」と彼はビデオ声明の中で強調しました。
訴訟と株価の影響
Coinbaseによると、この侵害はユーザーの1%未満に影響を及ぼしました。同社はこの事件に関与したTaskUsや他の海外のエージェントとの関係を断ち、内部管理を強化したと述べています。この侵害は、5月22日にペンシルベニア州の連邦裁判所に提起された株主訴訟を引き起こしました。
投資家ブレイディ・ネスラーは、Coinbaseが迅速に侵害を開示しなかったことで証券法を違反したと主張し、同社が以前の規制問題も隠蔽していたと述べました。Coinbaseの株は開示後に7%下落しましたが、S&P 500への組み入れにより回復しています。
