Coinbase 史上最大の「データ侵害」の内幕: 外注業者がハッカーと共謀して各データを 200 ドルで販売

ニューヨーク州南部地区裁判所に提出された修正集団訴訟文書により、Coinbase 史上最大のデータ侵害に関する詳細が明らかになりました。
(前回の要約: Coinbase ユーザー 69,000 人のデータが流出。公式: 最大 4 億米ドルの賠償、ハッカーの身代金支払い拒否)
(背景補足: Basechain は「トークンの発行」を検討していると発表、なぜ Coinbase はトークンを発行しないという約束を撤回したのか?)

米国の上場仮想通貨取引所である Coinbase、今年5月にハッカーから身代金メモを受け取り、そのハッカーはCoinbaseをマスターしたと主張した。その後、コインベースは6万9461件のユーザー情報が漏洩したことを確認する文書を米国証券取引委員会（SEC）に提出した。

影響を受ける情報には、名前、住所、電話番号、政府の身分証明書、銀行口座の詳細、取引記録が含まれます。ユーザーのログイン資格情報とコアウォレットは直接侵害されませんでしたが、ハッカーはこれらのデータを使用して多数のソーシャルエンジニアリング攻撃を実行し、Coinbaseの従業員になりすましてユーザーを欺き、多大な経済的損失を引き起こしました。

事件が発覚した後、Coinbase は影響を受けたユーザーに全額補償し、1 年間無料の ID 保護サービスを提供することを約束しました。しかし、事件の公表が5月まで延期されたため（事件は2024年9月まで遡ることができる）、それがユーザーや規制当局からの批判を引き起こした。

ニューヨークの裁判所文書が明らかに: TaskUs の従業員が賄賂を受け取り、秘密を漏洩した

最近、ニューヨーク州南部地方裁判所に提出された修正集団訴訟文書によると、データ漏洩の背後にいる人物は、Coinbase のアウトソーシング パートナーである米国のビジネス プロセス アウトソーシング会社 TaskUs を指摘しました。調査の結果、犯罪者がインドのTaskUsカスタマーサポート従業員に賄賂を贈り、Coinbaseのオペレーティングシステムへの侵入に成功し、大量のユーザー情報を盗んだことが明らかになりました。

報道によると、TaskUsの従業員はコンピュータ画面に表示されているCoinbaseの顧客情報の写真を撮り、その写真を1枚あたり200ドルでハッカーに渡したとして告発されている。捜査により、従業員のアシタ・ミシュラが2024年9月から犯罪に関与していたことが判明した。彼女は1日に最大200枚の写真を撮り、1万人以上のユーザーの個人データを携帯電話に保存していた。さらに、犯罪組織は「ハブアンドスポーク」モデルを採用しています。ミシュラとその仲間たちは、複数の小グループにタスクを実行するよう指示しており、参加者はお互いのことを意識していません。訴状では、TaskUsの従業員がこの手口で50万ドル以上の賄賂を受け取ったと推定されており、これはインドの従業員100人以上の年間給与を合計した額に相当する。

文書は、TaskU が組織的な管理に失敗し、従業員の行動を効果的に監視できなかったとして非難しています。 TaskUsは2025年1月に情報漏洩発覚後、関与した従業員約300人を解雇したが、原告らは同社が内部調査を抑制しようとしたほか、懸念を表明した人事担当者まで解雇し、コインベースや一般への事件の公表が遅れたため損失が拡大したと主張している。

Coinbase と TaskUs へのその後の対応

Coinbase は事件発覚後迅速な行動をとり、関与した TaskUs の従業員やその他の海外エージェントとの協力を打ち切り、ハッカー捕獲に 2,000 万米ドルの報奨金を提示しました。 TaskUs は評判の危機に直面しています。世界的に有名な BPO プロバイダーである同社の管理の抜け穴は、他のテクノロジー企業との協力にも影響を及ぼしています。

アナリストらは、今回の事件は仮想通貨業界における機密性の高いビジネスをアウトソーシングするリスクを浮き彫りにしており、将来的に取引所は海外での運営モデルの再評価を促す可能性があると指摘した。この訴訟は現在も司法手続き中であり、その後の展開はCoinbaseとTaskUsの責任にさらに影響を与えることになる。