Coinbase史上最大「資料外洩事件」內幕：外包商內鬼串謀駭客，每筆資料售200美元

紐約南區法院提交的修訂集體訴訟文件，披露了 Coinbase 史上最大資料外洩事件的更多細節。
（前情提要：6.9萬名Coinbase用戶資料外洩》官方：最高賠償4億美元、拒絕支付駭客贖金）
（背景補充：Base鏈宣佈正探索「發行代幣」，Coinbase為何推翻不發幣承諾？）

美國上市加密貨幣交易所 Coinbase 在今年 5 月曾收到駭客勒索信，駭客聲稱掌握了 Coinbase 的內部系統細節與用戶個人資訊，隨後 Coinbase 向美國證券交易委員會（SEC）提交文件，確認 69,461 名用戶資料外洩。

受影響的資料包括姓名、地址、電話號碼、政府身份證件、銀行帳戶詳情及交易紀錄。雖然用戶登入憑證與核心錢包未直接受損，但駭客利用這些資料進行了大量社會工程攻擊，假冒 Coinbase 員工詐騙用戶，造成了重大財務損失。

Coinbase 在事件曝光後承諾將全額賠償受影響用戶，並提供一年免費身份保護服務，但因延遲至 5 月才公開事件（事發可追溯至 2024 年 9 月），引發了用戶與監管機構的批評。

紐約法院文件揭露：TaskUs 員工收賄洩密

近期，根據紐約南區法院提交的修訂集體訴訟文件顯示，這起資料外洩事件的幕後黑手指向了 Coinbase 的外包合作夥伴：美國業務流程外包公司 TaskUs。調查顯示，犯罪分子透過賄賂 TaskUs 在印度的客戶支援員工，成功滲透進入了 Coinbase 的營運系統，竊取了大量用戶資料。

據介紹，TaskUs 員工被指以每張照片 200 美元的價格，拍攝電腦螢幕上顯示的 Coinbase 客戶資料，並將照片傳遞給駭客。調查點名一名員工 Ashita Mishra 於 2024 年 9 月起參與犯罪，她每天最多拍攝 200 張照片，儲存超過 1 萬名用戶的個人資料於手機中。且犯罪團夥採取「中心輻射」模式，Mishra 與同夥指揮多個小團體執行任務，參與者彼此不知情。訴狀估計，TaskUs 員工透過此方式累計獲取了超過 50 萬美元的賄款，相當於印度逾 100 名員工的年薪總和。

文件指控 TaskUs 存在系統性管理失誤，未能有效監控員工行為。 2025 年 1 月，TaskUs 發現外洩事件後便解僱了約 300 名涉案員工，但原告稱公司試圖壓制內部調查，甚至開除提出疑慮的人力資源人員，並延遲向 Coinbase 與公眾披露事件，導致損失擴大。

Coinbase 與 TaskUs 的後續處理

Coinbase 在事件曝光後迅速採取行動，終止了與涉案 TaskUs 員工及其他海外代理的合作，並懸賞 2,000 萬美元緝捕駭客。 TaskUs 則面臨聲譽危機，作為全球知名的 BPO 供應商，其管理漏洞也影響了其與其他科技公司的合作。

分析師指出，這起事件凸顯出加密貨幣行業外包敏感業務的風險，未來可能將會促使交易所重新評估海外營運模式。目前此案仍在司法程序中，後續進展將進一步影響 Coinbase 與 TaskUs 的責任歸屬。