เรื่องราวภายในของ "การละเมิดข้อมูล" ที่ใหญ่ที่สุดในประวัติศาสตร์ของ Coinbase: ผู้ว่าจ้างภายนอกสมรู้ร่วมคิดกับแฮกเกอร์เพื่อขายข้อมูลแต่ละรายการในราคา 200 ดอลลาร์

เอกสารการดำเนินคดีแบบกลุ่มที่แก้ไขแล้วซึ่งยื่นในศาลเขตทางใต้ของนิวยอร์กเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับการละเมิดข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ของ Coinbase
(สรุปก่อนหน้า: ข้อมูลผู้ใช้ Coinbase 69,000 รายรั่วไหล อย่างเป็นทางการ: การชดเชยสูงสุด 400 ล้านเหรียญสหรัฐ ปฏิเสธที่จะจ่ายค่าไถ่แฮ็กเกอร์)
(ส่วนเสริมเบื้องหลัง: Base chain ประกาศว่ากำลังสำรวจ "การออกโทเค็น" เหตุใด Coinbase จึงกลับคำสัญญาว่าจะไม่ออกโทเค็น)

Coinbase ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลที่จดทะเบียนในสหรัฐอเมริกา ได้รับการเรียกค่าไถ่ ข้อความจากแฮ็กเกอร์ในเดือนพฤษภาคมปีนี้ และแฮ็กเกอร์อ้างว่าเชี่ยวชาญ Coinbase แล้ว ต่อมา Coinbase ได้ส่งเอกสารไปยังสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) เพื่อยืนยันว่าข้อมูลผู้ใช้ 69,461 รายรั่วไหล

ข้อมูลที่ได้รับผลกระทบ ได้แก่ ชื่อ ที่อยู่ หมายเลขโทรศัพท์ เอกสารประจำตัวประชาชน รายละเอียดบัญชีธนาคาร และบันทึกการทำธุรกรรม แม้ว่าข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้และกระเป๋าเงินหลักจะไม่ถูกบุกรุกโดยตรง แต่แฮกเกอร์ก็ใช้ข้อมูลเหล่านี้เพื่อดำเนินการโจมตีทางวิศวกรรมสังคมจำนวนมาก โดยแสร้งทำเป็นพนักงานของ Coinbase เพื่อฉ้อโกงผู้ใช้ ทำให้เกิดความสูญเสียทางการเงินอย่างมาก

หลังจากเหตุการณ์ดังกล่าวถูกเปิดเผย Coinbase สัญญาว่าจะชดเชยผู้ใช้ที่ได้รับผลกระทบอย่างเต็มที่และให้บริการปกป้องข้อมูลประจำตัวฟรีเป็นเวลาหนึ่งปี อย่างไรก็ตาม มีการเลื่อนการเผยแพร่เหตุการณ์ดังกล่าวออกไปจนถึงเดือนพฤษภาคม (เหตุการณ์ดังกล่าวย้อนกลับไปได้ถึงเดือนกันยายน 2024) ซึ่งทำให้เกิดการวิพากษ์วิจารณ์จากผู้ใช้และหน่วยงานกำกับดูแล

เอกสารของศาลนิวยอร์กเปิดเผย: พนักงานของ TaskUs ยอมรับสินบนและความลับที่รั่วไหล

เมื่อเร็ว ๆ นี้ ตามเอกสารการดำเนินการแบบกลุ่มที่แก้ไขเพิ่มเติมซึ่งยื่นในศาลแขวงทางใต้ของนิวยอร์ก ผู้ที่อยู่เบื้องหลังการรั่วไหลของข้อมูลชี้ไปที่พันธมิตรเอาท์ซอร์สของ Coinbase: TaskUs บริษัทเอาท์ซอร์สกระบวนการทางธุรกิจของอเมริกา การสืบสวนพบว่าอาชญากรประสบความสำเร็จในการเจาะเข้าไปในระบบปฏิบัติการของ Coinbase และขโมยข้อมูลผู้ใช้จำนวนมากโดยการติดสินบนพนักงานสนับสนุนลูกค้าของ TaskUs ในอินเดีย

ตามรายงาน พนักงานของ TaskUs ถูกกล่าวหาว่าถ่ายรูปข้อมูลลูกค้า Coinbase ที่แสดงบนหน้าจอคอมพิวเตอร์และส่งต่อภาพถ่ายให้กับแฮกเกอร์ในราคา 200 ดอลลาร์ต่อภาพ การสืบสวนระบุชื่อพนักงานคนหนึ่งชื่อ อาชิตะ มิชรา ซึ่งมีส่วนเกี่ยวข้องในอาชญากรรมตั้งแต่เดือนกันยายน พ.ศ. 2567 เธอถ่ายภาพมากถึง 200 ภาพต่อวัน และจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้มากกว่า 10,000 รายไว้ในโทรศัพท์มือถือของเธอ ยิ่งกว่านั้น แก๊งอาชญากรยังใช้รูปแบบ "hub and Spoke" อีกด้วย มิชราและเพื่อนร่วมงานของเขากำกับกลุ่มเล็กๆ หลายกลุ่มให้ทำงานต่างๆ และผู้เข้าร่วมไม่ได้รับรู้ถึงกันและกัน การร้องเรียนดังกล่าวประเมินว่าพนักงานของ TaskUs ได้รับสินบนมากกว่า 500,000 ดอลลาร์ด้วยวิธีนี้ ซึ่งเทียบเท่ากับเงินเดือนประจำปีรวมกันของพนักงานมากกว่า 100 คนในอินเดีย

เอกสารดังกล่าวกล่าวหาว่า TaskUs ล้มเหลวในการจัดการระบบและล้มเหลวในการตรวจสอบพฤติกรรมของพนักงานอย่างมีประสิทธิภาพ ในเดือนมกราคม ปี 2025 TaskUs ไล่พนักงานประมาณ 300 คนที่เกี่ยวข้องออกหลังจากค้นพบการละเมิด แต่โจทก์อ้างว่าบริษัทพยายามระงับการสอบสวนภายใน แม้กระทั่งไล่ออกบุคลากรฝ่ายทรัพยากรบุคคลที่แจ้งข้อกังวล และชะลอการเปิดเผยเหตุการณ์ดังกล่าวต่อ Coinbase และสาธารณะ ทำให้เกิดความสูญเสียขยายวงกว้างขึ้น

การติดตามผลการจัดการ Coinbase และ TaskUs

Coinbase ดำเนินการอย่างรวดเร็วหลังจากเหตุการณ์ถูกเปิดเผย โดยยุติความร่วมมือกับพนักงาน TaskUs และตัวแทนต่างประเทศอื่น ๆ ที่เกี่ยวข้อง และเสนอรางวัล 20 ล้านดอลลาร์สหรัฐเพื่อจับกุมแฮกเกอร์ TaskUs กำลังเผชิญกับวิกฤติด้านชื่อเสียง ในฐานะผู้ให้บริการ BPO ที่มีชื่อเสียงระดับโลก ช่องโหว่ด้านการจัดการยังส่งผลกระทบต่อความร่วมมือกับบริษัทเทคโนโลยีอื่นๆ อีกด้วย

นักวิเคราะห์ชี้ให้เห็นว่าเหตุการณ์นี้เน้นย้ำถึงความเสี่ยงของการจ้างธุรกิจที่มีความละเอียดอ่อนในอุตสาหกรรมสกุลเงินดิจิทัล และอาจกระตุ้นให้บริษัทแลกเปลี่ยนประเมินรูปแบบการดำเนินงานในต่างประเทศอีกครั้งในอนาคต ขณะนี้คดียังอยู่ในการพิจารณาคดี และการพัฒนาที่ตามมาจะส่งผลกระทบต่อความรับผิดของ Coinbase และ TaskUs ต่อไป