Endringer i gruppesøksmål mot TaskUs
Endringer i et gruppesøksmål i New York mot TaskUs har lagt til nye påstander om systematiske sikkerhetsfeil og skjuling i forbindelse med et innbrudd som involverer Coinbase-kundedata. Den endrede klagen, som ble levert tirsdag i Southern District of New York, tilfører viktige elementer til tidligere avsløringer om hvordan Coinbases kundedata ble håndtert gjennom tidslinjen av det massive innbruddet, fra dets opprinnelse på slutten av 2024 til Coinbases endelige avsløring i mai, med tap anslått til å nå så mye som 400 millioner dollar.
«Dette var et kriminelt bestikkelsessystem som begynte på slutten av 2024 og utnyttet både eksterne leverandører og et lite antall Coinbase CX-ansatte utenfor USA, noe som muliggjorde sosial ingeniørsvindel mot mindre enn 1 % av månedlige transaksjonsbrukere,» sa en talsperson for Coinbase til Decrypt.
Kryptovaluta-børsen opplyste at de varslet berørte brukere og regulatorer umiddelbart, og tilbakebetalte berørte kunder mens de strammet inn kontrollene mot leverandører og interne kilder. Coinbase har siden avsluttet sitt samarbeid med TaskUs, og nektet å «betale kriminelle» og i stedet opprettet «en belønning på 20 millioner dollar for informasjon som fører til arrestasjoner og domfellelser,» bekreftet talspersonen overfor Decrypt. TaskUs svarte ikke umiddelbart på Decrypts forespørsel om kommentar.
Nøkkelendringer i klagen
Nøkkelendringer i klagen beskriver et koordinert system inne i TaskUs sine operasjoner i India, hvor ansatte angivelig ble bestukket for å fotografere sensitiv kontoinformasjon og overlevere den til kriminelle. Klagerne hevder at konspirasjonen strakte seg utover frontlinjepersonell, noe som førte til at TaskUs avskjediget rundt 300 ansatte i januar. Outsourcingfirmaets offentlige uttalelser angivelig «skjuler en langt bredere og koordinert kriminell kampanje som involverte dusinvis, om ikke hundrevis, av TaskUs-ansatte,» står det i klagen.
Innleveringen anklager også TaskUs for å skjule omfanget av innbruddet. Ifølge klagerne «tok selskapet skritt for å tie de med kunnskap om innbruddet» og avskjediget sine egne HR-ansatte som hadde fått i oppgave å undersøke innbruddet i februar. Det fortsatte senere å informere regulatorer om at de ikke hadde vært utsatt for noe materiell innbrudd, og gikk videre med en oppkjøp på 1,6 milliarder dollar gjennom Blackstone før Coinbase anerkjente hendelsen i mai.
En Form 10-K-innlevering fra TaskUs i februar nevnte ikke noen faktorer knyttet til Coinbase-innbruddet, noe som betydde at det effektivt hevdet at det «ikke var klar over noe materiell datainnbrudd som påvirket selskapet,» før Coinbase anerkjente hendelsen i mai, hevdet den endrede klagen.
Regulatoriske vurderinger
Den endrede klagen utvider også påstandene om at TaskUs ignorerte seksjon 5 av FTC-loven, og rammer opplysningene som systematiske snarere enn isolerte. Disse standardene veileder «hva bedrifter bør gjøre for å unngå «urettferdige» eller «bedragende» praksiser,» sa Andrew Rossow, offentlighetsadvokat og administrerende direktør i AR Media Consulting, til Decrypt.
«Selv om ikke all veiledning er juridisk bindende, kan det å ignorere det vise at et selskap var uforsiktig eller villedende.» Retter og regulatorer vurderer om de kompromitterte dataene var sensitive nok til å utsette folk for identitetstyveri eller økonomisk tap, forklarte Rossow. De vil også undersøke om sikkerhetstiltak som kryptering eller flerfaktorautentisering ble brukt, om risikoene var forutsigbare, om sikkerhetsløftene samsvarte med virkeligheten, og om forbrukerne hadde noen midler til å beskytte seg selv.
