지난 5월 발생한 코인베이스 데이터 유출 사건에 대한 새로운 법원 문서가 공개되었습니다. 이 문서에 따르면 태스크어스(TaskUs) 직원인 아시타 미슈라(Ashita Mishra)가 고객의dent정보를 빼돌리는 계획을 세우고, 이를 피싱 사기에 악용한 범죄자들에게 넘긴 것으로 드러났습니다.
코인베이스는 밝혔습니다 . 당초 코인베이스는 이 유출 사건이 인도에 있는 협력업체 직원의 소행이라고 주장했습니다. 그러나 수정된 법원 서류에는 태스크어스(TaskUs) 서비스 센터 직원인 미슈라가 2024년 9월부터 정보를 빼돌린 경위가 자세히 나와 있습니다.
TaskUs 직원이 고객 데이터를 판매한 혐의를 받고 있습니다
최근 제기된 소송에 따르면, 인도 인도르에 있는 TaskUs 직원 아시타 미슈라는 사회보장번호와 은행 계좌 정보 등 고객의dent데이터를 피싱 해킹 그룹에 판매한 혐의를 받고 있습니다. 그녀는 또한 허브 앤 스포크 방식의 공모를 통해 다른 TaskUs 직원들을 모집하여 데이터 유출을 실행했습니다. 조사 결과, 미슈라의 휴대전화에서 1만 건이 넘는 코인베이스 고객 데이터가 발견되었습니다. 미슈라는 데이터 한 건당 200달러를 받았으며, 최대 200명의 고객 정보를 수집한 것으로 알려졌습니다.
이번 해킹 사건의 배후에는 '더 커먼(The Comm)'이라는 이름의 느슨한 그룹이 있었으며, 이들은 탈취한 데이터를 이용해 코인베이스 직원을 사칭하고 고객들을 속여 암호화폐 보유 자산을 빼돌렸습니다. 최신 조사 결과 , 이 해킹 사건은 5월에 공개되었습니다. 소송을 제기한 측은 태스크어스(TaskUs)가 해킹 규모를 은폐하기 위해 1월에 직원 226명을 해고하고 내부 인사팀을 해체하는 등 여러 조치를 취했다고 주장했습니다.
TaskUs는 2월에 제출한 10-K 보고서에서 정보 유출 사건을 축소하여 규제 당국을 오도했다는 혐의를 받고 있습니다 . dent 에 대한 언급이 전혀 없었습니다 . 인도 업체인 TaskUs는 블랙스톤과의 16억 달러 규모 인수 계약을 추진하는 동안에도 중대한 정보 유출은 없었다고 규제 당국에 계속해서 주장해 온 것으로 알려졌습니다.
코인베이스는 해당 업체와의 관계를 끊었습니다. 규제 당국과 피해 고객들에게 즉시 통보하고, 피해 계정에 대한 환불 조치를 취했으며, 내부 통제를 강화하고, TaskUs와의 제휴 관계를 종료했습니다. 코인베이스 대변인은 성명을 통해 거래소가 범죄자들에게 돈을 지불하는 대신, 체포 및 유죄 판결로 이어지는 정보에 대해 2천만 달러의 현상금을 걸었다고 밝혔습니다.
코인베이스는 해당 판매자의 행위가 조직적인 것이었다고 밝혔습니다
텍사스에 본사를 둔 TaskUs는 아직 혐의에 대해 공식적인 입장을 밝히지 않았지만, 앞서 재확인 하고 보안 프로토콜을 강화했다고 밝힌 바 있습니다. 코인베이스는 TaskUs의 행위가 일회성이 아니라 조직적인 것이며, 불공정 행위를 다루는 FTC법 5조를 위반했다고 주장했습니다.
규제 당국은 TaskUs가 암호화나 다중 인증과 같은 충분한 보안 조치를 사용했는지 여부를 평가하기 위한 다음 단계에 착수할 것으로 예상됩니다. 또한 위험을 예방할 수 있었는지, 그리고 이번 데이터 유출로 고객이dent도용이나 금전적 손실에 노출되었는지 여부도 평가할 것입니다. 한편, Coinbase는 피해 고객들로부터 여러 건의 소송을 제기받았지만, 현재까지는 소송을 통합하여 중재로 넘기려는 움직임을 보이고 있습니다.
Cryptopolitan 지난 5월, Binance 보도가 나왔습니다 . 해당 보도에 따르면 해커들은 Binance 직원들에게 뇌물을 주고 민감한 정보를 빼내려 했으며, 심지어 텔레그램 연락처를 공유하며 공격 계획을 조율하기도 했습니다.
Binance AI 기반 모니터링을 활용하여 의심스러운 대화를 감지하고 차단하는 한편, 검증된 고객 문의에 한해 사용자 데이터 접근을 제한했습니다. 크라켄 측은 이러한 의혹을 부인하며, 해킹 사건 발생 이전에 이미 코인베이스에 의심스러운 활동에 대해 경고했었다고 밝혔습니다.
