De nouveaux documents judiciaires ont apporté un éclairage nouveau sur la fuite de données de Coinbase, découverte en mai. Ces documents révèlent qu'une employée de TaskUs, Ashita Mishra, a participé à la planification du vol d'informationsdentsur les clients et les a transmises à des criminels qui les ont utilisées dans des attaques de phishing.
Coinbase a révélé que la faille de sécurité avait touché au moins 69 000 clients et que les dommages étaient estimés à environ 400 millions de dollars. La plateforme avait initialement imputé la fuite à un employé malveillant d'un prestataire basé en Inde. Les documents judiciaires modifiés détaillent comment Mishra, employé du centre de services TaskUs, a dérobé les informations à partir de septembre 2024.
Un employé de TaskUs aurait vendu des données clients
La dernière plainte déposée allègue qu'Ashita Mishra, employée de TaskUs à Indore, en Inde, a vendu des donnéesdentde clients, notamment des numéros de sécurité sociale et des coordonnées bancaires, à un groupe de pirates informatiques spécialisés dans le phishing. Elle aurait également recruté d'autres employés de TaskUs pour perpétrer cette intrusion, selon un modèle décrit comme une conspiration en étoile. Les enquêteurs ont découvert plus de 10 000 données clients de Coinbase sur le téléphone de Mishra. Cette dernière aurait été payée 200 $ par enregistrement de données, qu'elle aurait collectées pour près de 200 clients.
Le groupe de pirates informatiques à l'origine de la faille était lié à un groupe informel appelé « The Comm », qui a utilisé les données volées pour usurper l'identité d'employés de Coinbase et inciter les clients à céder leurs cryptomonnaies. Selon les dernières conclusions de l'enquête , la faille a été révélée en mai. Les plaignants ont fait valoir que TaskUs avait pris des mesures supplémentaires pour dissimuler l'ampleur de la compromission, notamment le licenciement de 226 employés en janvier et la dissolution de son équipe RH interne.
TaskUs est accusée d'avoir induit les autorités de régulation en erreur en minimisant l'ampleur de la violation de données dans son rapport annuel (formulaire 10-K) de février. dent significatif, bien que la société de sous-traitance ait par la suite licencié des centaines d'employés liés à cette violation. Le prestataire indien aurait continué d'assurer aux autorités de régulation qu'il n'avait subi aucune violation significative, alors même qu'il négociait un rachat par Blackstone pour 1,6 milliard de dollars.
Coinbase a pris ses distances avec le fournisseur. La plateforme a immédiatement informé les autorités de régulation et les clients concernés, remboursé les comptes impactés, renforcé ses contrôles internes et mis fin à son partenariat avec TaskUs. Dans un communiqué, un porte-parole de Coinbase a indiqué que la plateforme refusait de verser de l'argent aux criminels et offrait une récompense de 20 millions de dollars pour toute information permettant leur arrestation et leur condamnation.
Coinbase affirme que les agissements du fournisseur étaient systémiques
TaskUs, dont le siège social est au Texas, n'a pas encore répondu aux accusations, mais a réaffirmé son engagement à protéger les données de ses clients et confirmé avoir renforcé ses protocoles de sécurité. Coinbase a allégué que les agissements de TaskUs étaient systémiques et non isolés, invoquant des violations de l'article 5 de la loi de la FTC, qui vise les pratiques commerciales déloyales.
Les autorités de régulation devraient prochainement évaluer si TaskUs a utilisé des mesures de protection suffisantes, telles que le chiffrement ou l'authentification multifacteurs. Elles examineront également si le risque aurait pu être évité et si la faille a exposé les clients à un vol d'dentou à des pertes financières. De son côté, Coinbase a reçu de nombreuses plaintes de la part des clients concernés, mais la plateforme a jusqu'à présent cherché à regrouper les demandes et à soumettre l'affaire à l'arbitrage.
Cryptopolitan En mai, un rapport indiquait Binance et Kraken pourraient également avoir été impliqués dans des attaques d'ingénierie sociale similaires à celle subie par Coinbase. Ce rapport précisait que des pirates avaient tenté de corrompre Binance pour dérober des informations sensibles, allant jusqu'à partager leurs contacts Telegram pour coordonner leurs actions.
Binance a utilisé un système de surveillance basé sur l'IA pour identifier et bloquer les conversations, tout en limitant l'accès aux données utilisateur pour les appels initiés par des clients vérifiés. Kraken, de son côté, a nié les allégations, affirmant avoir déjà alerté Coinbase d'activités suspectes avant la violation de données.
