En Resumen
- Coinbase fue informado en enero sobre una violación de datos que involucró a su contratista TaskUs, meses antes de hacer público el incidente
- La empresa señaló que los hackers obtuvieron información de clientes a través de empleados comprometidos que vendían datos por sobornos
- Coinbase afirmó que rechazó una demanda de rescate de $20 millones y cortó lazos con TaskUs tras detectar el acceso no autorizado
Coinbase fue informado en enero de una violación de datos de un cliente que involucraba a su contratista externo TaskUs meses antes de hacer público el incidente, según informó Reuters el lunes, citando seis fuentes familiarizadas con el asunto.
Según cinco exempleados de TaskUs, la violación fue rastreada hasta un agente de soporte de TaskUs con sede en India que había estado fotografiando la pantalla de su computadora de trabajo con un teléfono.
Se sospechaba que la empleada y un presunto cómplice vendían información de usuarios de Coinbase a hackers a cambio de sobornos.
"Informamos inmediatamente esta actividad al cliente", le dijo a Reuters TaskUs, agregando que había terminado a dos empleados por acceso ilegal y creía que la violación era parte de una campaña más amplia y coordinada dirigida a Coinbase y otros proveedores de servicios.
Decrypt se acercó a Coinbase y TaskUs para obtener comentarios.
Coinbase divulgó la violación en una presentación ante la Comisión de Bolsa y Valores de Estados Unidos (SEC) el 14 de mayo y siguió con una publicación en el blog el 15 de mayo.
La empresa dijo que los hackers obtuvieron nombres de clientes, direcciones, detalles bancarios enmascarados y documentos de identidad a través de personal de soporte comprometido. No se tomaron fondos ni contraseñas. El 11 de mayo, Coinbase recibió una demanda de rescate de $20 millones en Bitcoin, lo que lo llevó a hacer pública la información.
Además, dijo que el actor de amenazas había obtenido la información al pagar a varios contratistas o empleados en roles de soporte por información de los sistemas internos de Coinbase y que "estas instancias de personal accediendo a datos sin necesidad comercial fueron detectadas de forma independiente por la monitorización de seguridad de la Compañía en los meses anteriores".
Reuters informó que al menos parte de la violación de seguridad estaba vinculada a TaskUs, una empresa estadounidense de externalización con más de 61.000 empleados en 12 países.
"Luego intentaron extorsionar a Coinbase por $20 millones para encubrir esto. Nosotros dijimos que no", escribió la empresa. El CEO Brian Armstrong respondió ofreciendo una recompensa de $20 millones por información que conduzca al arresto de los atacantes. "No vamos a pagar su rescate", dijo en un comunicado en video.
La empresa señaló que la violación afectó a menos del 1% de sus usuarios. Coinbase desde entonces ha cortado lazos con TaskUs y otros agentes en el extranjero involucrados en el incidente y afirma haber fortalecido los controles internos.
La violación desencadenó una demanda de accionistas presentada el 22 de mayo en un tribunal federal de Pensilvania. El inversor Brady Nessler acusó a Coinbase de violar las leyes de valores al no revelar la violación de manera oportuna y alegó que la empresa también ocultó problemas regulatorios anteriores.
Las acciones de Coinbase cayeron un 7% tras la divulgación, pero desde entonces se han recuperado, fortalecidas por su inclusión en el S&P 500.
Editado por Sebastian Sinclair