Coinbase 個資外流案揭露:客服員工手機藏萬筆用戶資料,每筆 200 美元兜售
Coinbase 今年稍早爆發個資外洩案,如今隨著法院文件曝光,背後真相逐漸浮出水面。消息指向一名外包客服公司 TaskUs 的員工,她涉嫌自 2024 年 9 月起竊取 Coinbase 近七萬名用戶的敏感資料,並販售給駭客組織,可以說是 Coinbase 史上最嚴重的資安事件。
Coinbase 外包客服成內鬼,七萬名客戶資料外流
根據負責該集體訴訟的律師事務所 Greenbaum Olbrantz 的修正訴狀,起因源自總部位於德州的業務外包公司 TaskUs,該公司負責將企業業務外包給各廉價勞動力市場。
其中,任職於印度的 TaskUs 服務中心員工 Ashita Mishra 負責處理 Coinbase 的客戶資料,也成了這場資安事件的主導者。
廣告 - 內文未完請往下捲動
文件指出,Mishra 不僅竊取包含社會安全號碼 (Social Security number, SSN) 與銀行帳號等敏感資訊,還以每張照片 200 美元的價格出售給駭客。有時她一天拍攝多達 200 張,手機中更留有超過 1 萬名客戶的資料。
組織型犯案:從員工到主管皆涉案
更令人擔憂的是,Mishra 並非單獨行動。她積極招募其他 TaskUs 員工參與,並組成一個資料竊取團隊,從組長到主管皆有涉案。這些資料最終流入一個名為「the Comm」的駭客集團手中,用以誘騙投資人交出加密貨幣:
這是一場精心策劃的輻射式陰謀,將 Coinbase 客戶資料從 TaskUs 電腦傳送給犯罪分子。
(Migos IG 遭駭曝 Coinbase KYC 風險:Solana 創辦人個資遭洩勒索 40 BTC)
Coinbase 與 TaskUs 祭對策,時間點矛盾成隱憂
值得注意的是,訴訟文件揭露的時間點與 Coinbase 官方說法存在落差。Coinbase 先前聲稱駭客行動始於 2024 年 12 月,但訴狀透露早在 9 月就已開始。與此同時,TaskUs 也指控 Coinbase 員工涉案,但缺乏進一步細節。
(Coinbase 資安風暴延燒:12 月用戶個資外洩 5 月才揭露,遭質疑「知情包庇」)
面對這場危機,Coinbase 採取強硬態度,強調第一時間已通知監管機構並全額賠償受害者,同時終止與 TaskUs 的合作,強化內部管控。同時設立 2,000 萬美元賞金,徵求能提供駭客線索的人士。
反觀 TaskUs 則在今年 1 月一次性解雇 226 名員工,隔月更資遣了負責調查的人資團隊。前員工表示該公司採取了「極端措施」:
這起犯罪已普遍滲透到 TaskUs 的業務網路中,以至於 TaskUs 無法有效確認所有涉案人員。
法律戰持續,責任歸屬仍未明朗
隨著多起集體訴訟相繼出現,Coinbase 希望將案件移交仲裁處理,以降低損失與負面影響。Greenbaum Olbrantz 則選擇針對 TaskUs 提告,指控該公司試圖掩蓋真相。
然而,這起事件仍揭示了加密產業在快速擴張下的安全隱憂。當核心數據掌握在中心化企業手中,便成了潛在的資安缺口。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
