Documenti giudiziari recentemente rilasciati hanno fatto luce sulla violazione dei dati di Coinbase. Un sospetto principale è stato identificato nell’exploit, che l’exchange ha rivelato aver impattato ‘meno dell’1%’ dei suoi utenti attivi mensili.
Secondo i documenti giudiziari, dipendenti di un’azienda esterna di assistenza clienti di Coinbase, TaskUs, avrebbero rubato informazioni sensibili dei clienti, tra cui numeri di previdenza sociale, dettagli dei conti bancari e altro ancora.
SponsoredDocumenti del tribunale rivelano complotto interno dietro la violazione dei dati di Coinbase
L’incidente è stato reso noto a maggio 2025. All’epoca, Coinbase ha rivelato che gli attaccanti avevano corrotto agenti di supporto infedeli per accedere ai dati degli utenti. BeInCrypto ha riportato che i malintenzionati hanno richiesto un riscatto di $20 milioni.
L’exchange ha rifiutato di pagare e ha invece annunciato una ricompensa di $20 milioni per informazioni che potessero aiutare a identificare e perseguire i responsabili dell’attacco. Ora, la denuncia collettiva modificata, presentata presso il Tribunale Distrettuale degli Stati Uniti per il Distretto Meridionale di New York, rintraccia la violazione fino a TaskUs. È un’azienda di outsourcing dei processi aziendali che Coinbase utilizzava per il supporto clienti.
Sponsored“Secondo il personale a conoscenza della violazione dei dati, nel 2024, attori criminali hanno iniziato una campagna di contatti per mirare e reclutare dipendenti di TaskUs per unirsi a una cospirazione per esfiltrare PII degli utenti di Coinbase in modo che quei criminali potessero rubare asset di criptovaluta detenuti da quegli utenti. Già a settembre 2024, la dipendente di TaskUs Ashita Mishra si è unita alla cospirazione accettando di vendere dati altamente sensibili degli utenti di Coinbase a quei criminali,” si legge nel documento.
A partire da settembre 2024, una dipendente di TaskUs in India, Ashita Mishra, avrebbe iniziato a fotografare registri sensibili dei clienti. Mishra ha poi venduto i dati rubati a hacker esterni per circa $200 per immagine. L’estensione della violazione era vasta.
Quando TaskUs ha scoperto la violazione all’inizio di gennaio 2025, il telefono di Mishra conteneva da solo dati su oltre 10.000 clienti di Coinbase. I registri mostravano che scattava fino a 200 foto in alcuni giorni.
Secondo i documenti, si trattava di una cospirazione più ampia che coinvolgeva diversi dipendenti di TaskUs che canalizzavano dati rubati a criminali organizzati.
“La signora Mishra e un complice gestivano cerchie più piccole di dipendenti di TaskUs scollegati che partecipavano alla cospirazione,” hanno rivelato i documenti.
Inoltre, la denuncia ha evidenziato che nonostante la scoperta della violazione all’inizio di gennaio 2025 e il licenziamento di circa 300 dipendenti dai suoi centri in India, TaskUs e Coinbase non hanno immediatamente informato i clienti. Secondo il testo,
“Tra gennaio 2025, quando sono venuti a conoscenza della violazione dei dati, e maggio 2025, TaskUs e Coinbase hanno dichiarato nei loro Form 10-K di non essere a conoscenza di violazioni materiali dei dati che impattassero le rispettive aziende.”
Nel frattempo, utilizzando i dettagli rubati, i truffatori si sono spacciati per rappresentanti di Coinbase e hanno convinto le vittime a trasferire criptovalute in wallet fraudolenti. Diversi querelanti riportano che la violazione ha spazzato via i loro risparmi di una vita o i fondi pensionistici.
“I criminali hanno utilizzato un playbook standard per portare a termine il loro schema, rubando con successo fino a $400 milioni da vittime ignare secondo le stime di Coinbase,” ha notato la causa.
La violazione ha scatenato critiche diffuse poiché gli utenti hanno riferito di essere stati presi di mira da schemi di phishing e impersonificazione. Inoltre, Coinbase ha affrontato una causa a seguito di un calo del prezzo delle sue azioni, che ha comportato perdite sostanziali per gli investitori.
In seguito, Coinbase ha interrotto i rapporti con il personale di TaskUs coinvolto e ha implementato controlli più severi.
“Abbiamo notificato immediatamente agli utenti e alle autorità di regolamentazione, rimborsato i clienti impattati, rafforzato i controlli sui fornitori e sugli insider, e terminato la nostra relazione con TaskUs,” ha detto Coinbase a Fortune.
Per rafforzare ulteriormente le sue difese, Coinbase afferma che sta migliorando le sue politiche di lavoro a distanza per ridurre le minacce interne e prevenire l’infiltrazione da parte di attori stranieri, inclusi attori nordcoreani.
La violazione dei dati di Coinbase illustra la portata dei danni che le minacce interne possono causare nel settore crypto. Nonostante difese tecniche avanzate, le vulnerabilità umane presso fornitori terzi rimangono un rischio acuto, uno che anche i più grandi exchange del mondo, proprio come Coinbase, faticano a contenere.
