Ændringer i Gruppeanmeldelse mod TaskUs
Ændringer til en gruppeanmeldelse i New York mod TaskUs har tilføjet nye påstande om systematiske sikkerhedsfejl og skjul i forbindelse med et brud på Coinbase-kundedata. Den ændrede klage, indgivet tirsdag ved Southern District of New York, tilføjer centrale elementer til tidligere oplysninger om, hvordan Coinbase’s kundedata blev håndteret i løbet af tidslinjen for det massive brud, fra dets oprindelse i slutningen af 2024 til Coinbase’s endelige offentliggørelse i maj, med tab anslået til at nå op på så meget som 400 millioner dollars.
“Dette var et kriminelt bestikkelsesskema, der begyndte i slutningen af 2024, som udnyttede både eksterne leverandører og et lille antal Coinbase CX-medarbejdere uden for USA, hvilket muliggjorde social engineering-svindel mod mindre end 1% af de månedlige transaktionerende brugere,” sagde en talsmand for Coinbase til Decrypt.
Kryptobørsen sagde, at den straks underrettede berørte brugere og reguleringsmyndigheder og tilbagebetalte de påvirkede kunder, mens den strammede kontrollen med leverandører og interne medarbejdere. Coinbase har siden afsluttet sit forhold til TaskUs og nægtet at “betale kriminelle” og i stedet oprettet “en belønning på 20 millioner dollars for information, der fører til anholdelser og domfældelser,” bekræftede talsmanden over for Decrypt. TaskUs har ikke straks besvaret Decrypts anmodninger om kommentar.
Væsentlige Ændringer i Klagen
Væsentlige ændringer i klagen beskriver et koordineret skema inden for TaskUs’ operationer i Indien, hvor medarbejdere angiveligt blev bestukket for at fotografere følsomme kontooplysninger og videregive dem til kriminelle. Klagerne siger, at konspirationen spredte sig ud over frontlinjemedarbejdere, hvilket fik TaskUs til at afskedige omkring 300 medarbejdere i januar. Outsourcingfirmaets offentlige udtalelser angiveligt “skjuler en langt bredere og koordineret kriminel kampagne, der involverede dusinvis, hvis ikke hundreder af TaskUs-medarbejdere,” står der i klagen.
Indgivelsen anklager også TaskUs for at skjule omfanget af bruddet. Ifølge klagerne “tog virksomheden skridt til at tie dem, der havde kendskab til bruddet” og fyrede sine egne HR-medarbejdere, der var ansvarlige for at undersøge bruddet i februar. Det fortsatte senere med at fortælle reguleringsmyndighederne, at det ikke havde lidt noget væsentligt brud og gik videre med en opkøbsaftale på 1,6 milliarder dollars gennem Blackstone, før Coinbase anerkendte hændelsen i maj.
Regulatoriske Overvejelser
En Form 10-K indgivelse fra TaskUs i februar nævnte ikke nogen faktorer vedrørende Coinbase-bruddet, hvilket betød, at det effektivt hævdede, at det “ikke var klar over noget væsentligt databrud, der påvirkede virksomheden,” før Coinbase anerkendte hændelsen i maj, hævdede den ændrede klage. Den ændrede klage udvider også påstandene om, at TaskUs ignorerede Section 5 i FTC Act og rammer fejlene som systematiske snarere end isolerede.
“Disse standarder vejleder, hvad virksomheder bør gøre for at undgå ‘uretfærdige’ eller ‘vildledende’ praksisser,” sagde Andrew Rossow, offentlighedsjurist og CEO for AR Media Consulting, til Decrypt.
“Selvom ikke alle retningslinjer er juridisk bindende, kan det at ignorere dem vise, at en virksomhed var uforsigtig eller vildledende.” Domstole og reguleringsmyndigheder overvejer, om de kompromitterede data var følsomme nok til at udsætte folk for identitetstyveri eller økonomisk tab, forklarede Rossow. De vil også undersøge, om sikkerhedsforanstaltninger som kryptering eller multifaktorautentificering blev anvendt, om risiciene var forudsigelige, om sikkerhedsløfter stemte overens med virkeligheden, og om forbrugerne havde nogen midler til at beskytte sig selv.
