A Coinbase foi informada em janeiro sobre uma violação de dados de clientes envolvendo sua contratada terceirizada TaskUs, meses antes de divulgar publicamente o incidente, informou a agência Reuters na segunda-feira (2), citando seis fontes com conhecimento do assunto.
De acordo com cinco ex-funcionários da TaskUs, a origem da violação foi rastreada até uma atendente da empresa na Índia, que teria fotografado a tela de seu computador de trabalho com um celular.
A funcionária e um suposto cúmplice são suspeitos de vender informações de usuários da Coinbase para hackers em troca de subornos.
“Reportamos essa atividade imediatamente ao cliente”, disse a TaskUs à Reuters, acrescentando que demitiu dois funcionários por acesso ilegal e acredita que o incidente faz parte de uma campanha coordenada mais ampla que visa a Coinbase e outros prestadores de serviços.
A Coinbase divulgou o caso em um comunicado à Comissão de Valores Mobiliários dos EUA (SEC) no dia 14 de maio e, no dia seguinte, publicou uma nota em seu blog.
A empresa afirmou que os hackers obtiveram nomes, endereços, dados bancários mascarados e documentos de identidade de clientes por meio da violação de funcionários da equipe de suporte. Nenhum fundo ou senha foi comprometido. Em 11 de maio, a Coinbase recebeu uma exigência de resgate no valor de US$ 20 milhões em Bitcoin, o que levou a companhia a tornar o caso público.
A empresa afirmou ainda que o agente da ameaça conseguiu as informações pagando diversos funcionários terceirizados ou contratados de suporte por acesso a dados internos da Coinbase, e que “essas ocorrências de acesso a dados sem necessidade de negócios foram detectadas independentemente pelo sistema de monitoramento de segurança da empresa nos meses anteriores”.
O envolvimento da TaskUs
Segundo a Reuters, pelo menos parte da violação está ligada à TaskUs, uma empresa de terceirização dos Estados Unidos com mais de 61 mil funcionários em 12 países.
“Depois tentaram extorquir a Coinbase em US$ 20 milhões para encobrir o caso. Dissemos não”, escreveu a empresa. O CEO Brian Armstrong respondeu oferecendo uma recompensa de US$ 20 milhões por informações que levem à prisão dos responsáveis. “Não vamos pagar seu resgate”, disse ele em uma declaração em vídeo.
A empresa informou que a violação afetou menos de 1% de seus usuários. Desde então, a Coinbase cortou relações com a TaskUs e outros agentes internacionais envolvidos no caso, além de alegar que fortaleceu seus controles internos.
A violação de dados resultou em um processo movido por acionistas no dia 22 de maio, em um tribunal federal da Pensilvânia. O investidor Brady Nessler acusou a Coinbase de violar leis de valores mobiliários ao não divulgar o incidente prontamente e alegou que a empresa também ocultou problemas regulatórios anteriores.
As ações da Coinbase caíram 7% após a revelação do caso, mas já se recuperaram, impulsionadas por sua inclusão no índice S&P 500.
* Traduzido e editado com autorização do Decrypt.
- Aproveite ativos com ganhos de até 24,5% ao ano: mais que o dobro da Poupança e até 167% do CDI. Cadastre-se na página oficial para aproveitar ofertas exclusivas na Super Quarta do MB!