加密货币交易平台 Coinbase 面临更严格的审查,原因是最新披露的数据显示,该公司可能早在 2025 年 1 月就已知晓涉及外包客户支持代理的大规模数据泄露事件,然而,这一信息直到数月后才被公开承认。
据知情人士透露,此次数据泄露源于 Coinbase 的长期外包合作伙伴——美国公司 TaskUs 的一名印度员工。
该员工被指控偷拍其工作站屏幕,并与同伙合作,将敏感的客户信息泄露给网络犯罪分子以换取贿赂。这起事件导致印度印多尔地区超过 200 名 TaskUs 员工被解雇,初步调查显示,这似乎是一次针对 Coinbase 支持系统基础设施的有组织犯罪渗透。
延迟披露引发质疑
尽管 Coinbase 后来将其 4 亿美元的损失归咎于“海外支持代理”,但该公司直到今年 5 月因勒索要求向美国证券交易委员会(SEC)提交文件时,才全面承认了事件的严重性。
根据内部报告,这并非单个行为者的孤立行为,而是一项更大范围行动的一部分,其他为 Coinbase 提供服务的业务流程外包(BPO)公司也成为了目标。
据报道,泄露的数据涉及超过 69,000 名客户。虽然这些数据不足以直接访问 Coinbase 的内部钱包系统,但却让诈骗者能够冒充 Coinbase 官方代理,通过社交工程手段骗取用户的加密货币资产。
尽管 Coinbase 表示已对受影响的用户进行补偿,但外界对其信息披露的时间线和透明度仍存疑虑。
TaskUs 被控疏忽
目前,一项集体诉讼指控 TaskUs 存在重大疏忽,称这家 BPO 公司未能实施适当的数据保护措施。不过,TaskUs 对此予以否认。
尽管 TaskUs 声称提供了强有力的培训和安全规程,但此次事件暴露了将敏感客户互动外包给低薪离岸工人所带来的潜在风险。这些员工往往工资过低且缺乏充分培训,可能更容易受到外部胁迫。
Coinbase 表示,在发现欺诈行为后,已迅速采取行动切断与涉案代理的联系,并加强了安全措施。然而,时间线显示,Coinbase 在内部威胁检测和风险管理方面可能存在漏洞,尤其是其文件中提到“未经授权的访问”早在几个月前就已发生。