Gugatan Class Action Terhadap TaskUs
Gugatan class action yang diajukan di New York terhadap TaskUs telah mengalami perubahan signifikan, menambahkan klaim baru mengenai kegagalan keamanan sistemik dan upaya penyembunyian terkait pelanggaran data pelanggan Coinbase. Gugatan yang diperbarui ini diajukan pada hari Selasa di Southern District of New York, dan menyoroti pengungkapan penting mengenai penanganan data pelanggan Coinbase selama periode pelanggaran besar ini, yang dimulai pada akhir 2024 dan terungkap pada bulan Mei, dengan kerugian yang diperkirakan mencapai hingga $400 juta.
“Ini adalah skema penipuan kriminal yang dimulai pada akhir 2024, yang mengeksploitasi vendor eksternal serta sejumlah kecil staf Customer Experience (CX) Coinbase di luar AS, sehingga memungkinkan terjadinya penipuan rekayasa sosial terhadap kurang dari 1% pengguna yang bertransaksi setiap bulan,” ungkap juru bicara Coinbase kepada Decrypt.
Bursa kripto tersebut menyatakan telah memberi tahu pengguna yang terdampak dan regulator dengan segera, serta mengganti kerugian pelanggan yang terpengaruh, sambil memperketat kontrol terhadap vendor dan orang dalam. Coinbase juga telah mengakhiri hubungan dengan TaskUs, menolak untuk “membayar para penjahat” dan malah menciptakan “hadiah $20 juta untuk informasi yang mengarah pada penangkapan dan hukuman,” seperti yang dikonfirmasi oleh juru bicara kepada Decrypt.
Skema Terkoordinasi dan Tindakan TaskUs
TaskUs belum memberikan tanggapan terhadap permintaan komentar dari Decrypt. Perubahan utama dalam gugatan ini menggambarkan adanya skema terkoordinasi di dalam operasi TaskUs di India, di mana karyawan diduga disuap untuk memotret informasi akun sensitif dan memberikannya kepada para penjahat. Para penggugat menyatakan bahwa konspirasi ini melibatkan lebih dari sekadar staf garis depan, yang mendorong TaskUs untuk memecat sekitar 300 karyawan pada bulan Januari.
Pernyataan publik dari perusahaan outsourcing tersebut diduga “menyembunyikan kampanye kriminal yang jauh lebih luas dan terkoordinasi yang melibatkan puluhan, jika tidak ratusan karyawan TaskUs,” demikian bunyi gugatan tersebut. Pengajuan juga menuduh TaskUs menyembunyikan cakupan pelanggaran tersebut. Menurut para penggugat, perusahaan “mengambil langkah untuk membungkam mereka yang memiliki pengetahuan tentang pelanggaran” dan memecat personel sumber daya manusia yang ditugaskan untuk menyelidiki pelanggaran tersebut pada bulan Februari.
Selanjutnya, perusahaan terus memberi tahu regulator bahwa mereka tidak mengalami pelanggaran material, dan melanjutkan akuisisi senilai $1,6 miliar melalui Blackstone sebelum Coinbase mengakui insiden tersebut pada bulan Mei.
Implikasi Hukum dan Keamanan Data
Pengajuan Form 10-K dari TaskUs pada bulan Februari tidak menyebutkan faktor-faktor yang berkaitan dengan pelanggaran Coinbase, yang berarti bahwa mereka secara efektif mengklaim bahwa mereka “tidak menyadari adanya pelanggaran data material yang mempengaruhi perusahaan,” sebelum Coinbase mengakui insiden tersebut pada bulan Mei, sesuai dengan tuduhan dalam gugatan yang diubah tersebut.
Gugatan yang diperbarui juga memperluas klaim bahwa TaskUs mengabaikan Pasal 5 dari FTC Act, dengan membingkai kelalaian tersebut sebagai masalah sistemik, bukan terisolasi. Standar ini mengarahkan “apa yang harus dilakukan bisnis untuk menghindari praktik ‘tidak adil’ atau ‘menipu’,” kata Andrew Rossow, pengacara urusan publik dan CEO AR Media Consulting, kepada Decrypt.
Pengadilan dan regulator kini sedang mempertimbangkan apakah data yang terkompromikan cukup sensitif untuk mengekspos individu pada risiko pencurian identitas atau kerugian finansial. Mereka juga akan memeriksa apakah langkah-langkah perlindungan seperti enkripsi atau otentikasi multi-faktor diterapkan, apakah risikonya dapat diperkirakan, apakah janji keamanan sesuai dengan kenyataan, dan apakah konsumen memiliki cara untuk melindungi diri mereka sendiri.
