Americká kryptoměnová burza Coinbase byla informována o úniku zákaznických dat, který firmu podle odhadů přišel až na 400 milionů dolarů a do něhož byla zapojena její partnerská společnost TaskUs, už v lednu. To je o několik měsíců dříve, než bezpečnostní incident oficiálně oznámila veřejnosti. Agentuře Reuters to sdělilo šest osob obeznámených s případem.
K úniku došlo u indické pobočky firmy TaskUs, kde zaměstnankyně zákaznické podpory fotografovala obrazovku pracovního počítače mobilním telefonem. Společně s dalším podezřelým měla citlivá data zákazníků předávat hackerům výměnou za úplatky.
„O této aktivitě jsme klienta okamžitě informovali,“ uvedla společnost TaskUs ve svém prohlášení. Firma dodala, že v souvislosti s neoprávněnými přístupy k datům propustila dva zaměstnance, přičemž se domnívá, že incident byl součástí širší koordinované kampaně zaměřené na Coinbase a další poskytovatele.
🚨JUST IN: Coinbase learned of data breach involving TaskUs contractor in January but only realized it was part of wider $400 million breach campaign when hackers sent extortion demand in May, per Reuters. pic.twitter.com/BrUboFbO3W
— Cointelegraph (@Cointelegraph) June 3, 2025
Podle šesti zdrojů, na které se Reuters odvolává, se incident odehrál v indickém městě Indore a následoval hromadný vyhazov více než 200 zaměstnanců TaskUs. Coinbase potvrdila, že se únik týkal přístupu ke jménům, adresám, částečně skrytým bankovním údajům a dokladům totožnosti zákazníků. Zároveň ovšem nedošlo ke kompromitaci hesel nebo finančních prostředků.
E-mail od vyděračů a pozdní ohlášení SEC
Až 11. května, několik měsíců po interním zjištění bezpečnostních problémů, obdržela Coinbase vyděračský požadavek na 20 milionů dolarů v bitcoinech. To společnost přimělo zveřejnit incident ve zprávě pro americkou Komisi pro cenné papíry (SEC) o tři dny později, tedy 14. května. Následovalo také veřejné vyjádření na blogu firmy.
„Pak se nás pokusili vydírat a chtěli 20 milionů dolarů, aby se to utajilo. Odmítli jsme,“ informovala Coinbase. Ředitel Brian Armstrong následně nabídl odměnu ve stejné výši za informace vedoucí k dopadení útočníků a ve videoprohlášení zdůraznil: „Výkupné platit nebudeme.“
Podle serveru Decrypt incident postihl méně než jedno procent uživatelů burzy. Společnost v reakci přerušila spolupráci s TaskUs a dalšími zahraničními partnery zapojenými do případu a zavedla přísnější bezpečnostní opatření.
Incident se nicméně stal předmětem žaloby ze strany investora Brada Nesslera, který Coinbase obviňuje z toho, že porušila zákony o cenných papírech tím, že informace o úniku nezveřejnila včas a zároveň údajně zatajila předchozí problémy s regulátory.
