Coinbase sieht sich steigendem rechtlichen Druck gegenüber, nachdem bekannt wurde, dass ein durch Bestechung veranlasster Datenschutzverstoß die persönlichen Informationen seiner Nutzer kompromittierte. Innerhalb von 48 Stunden nach Bekanntgabe der Sicherheitslücke und eines damit verbundenen Erpressungsversuchs von 20 Millionen Dollar wurden mindestens sechs Bundesklagen eingereicht. Kläger werfen dem Unternehmen Fahrlässigkeit, mangelhafte interne Kontrollen und eine unzureichende Bewältigung der Vorfallfolgen vor.
Die rechtlichen Schritte, die zwischen dem 15. und 16. Mai vor den Bundesgerichten von New York und Kalifornien eingereicht wurden, behaupten ein Versagen grundlegender Datenschutzpflichten und eine langsame, fragmentierte Reaktion der Börse, die bereits unter regulatorischer Beobachtung der U.S. Securities and Exchange Commission (SEC) steht.
Die Klagen weisen auf systemische Mängel hin, die es Bedrohungsakteuren ermöglichten, den Kundenservice zu bestechen, um unbefugten Zugriff auf interne Coinbase-Systeme zu erhalten. Kläger argumentieren, dass der Vorfall breitere Schwachstellen in der Sicherheitsarchitektur der Plattform widerspiegelt - Schwachstellen, die möglicherweise nicht einzigartig für Coinbase im zunehmend risikoreichen Umfeld zentralisierter Krypto-Börsen sind.
Laut Coinbase-eigenen Aussagen begann der Datenschutzverstoß, als Cyberkriminelle mehrere Support-Mitarbeiter mit Bestechungsgeldern annäherten und Berichten zufolge Geld über Telegram im Austausch für den Zugriff auf interne Verwaltungstools anboten. Obwohl Coinbase die Entlassung von Support-Mitarbeitern in Indien bestätigt hat, die in den Vorfall verwickelt waren, bleibt das volle Ausmaß der internen Verantwortlichkeit unklar.
Berichten zufolge griffen die Angreifer auf Benutzerinformationen zu und exfiltrierten diese, darunter:
- Namen, E-Mails, Telefonnummern
- Wohnadressen
- Die letzten vier Ziffern der Sozialversicherungsnummern
- Identifikationsdokumente wie Pässe und Führerscheine
- Kontometadaten, einschließlich Salden und Transaktionsverlauf
Am 15. Mai enthüllte das Unternehmen, dass es nur vier Tage zuvor eine Lösegeldforderung in Höhe von 20 Millionen Dollar erhalten hatte, was auf eine Verzögerung zwischen dem ursprünglichen Verstoß und der öffentlichen Bekanntgabe hindeutet. Benutzer und rechtliche Beobachter argumentieren, dass dieser Zeitverzug die gefährdeten Personen weiter in Gefahr gebracht hat, indem er notwendige Vorsichtsmaßnahmen wie das Einfrieren von Konten oder die Einleitung von Kreditüberwachungen verzögerte.
Klagen konzentrieren sich auf Fahrlässigkeit und unzureichende Sicherheitspraktiken
Die gegen Coinbase eingereichten Klagen teilen ein gemeinsames Thema: dass die Börse es versäumt hat, angemessene Sicherheitsmaßnahmen zum Schutz sensibler Kundendaten zu implementieren und aufrechtzuerhalten.
Eine der Hauptklagen, die von Paul Bender vor dem Bundesgericht in New York eingereicht wurde, behauptet, dass Coinbase "es versäumt hat, angemessene Schutzmaßnahmen zu implementieren", die Millionen von Nutzern "ernsten und anhaltenden Risiken" ausgesetzt haben. Die Beschwerde kritisiert auch die Kommunikationsstrategie des Unternehmens und beschreibt sie als "unzureichend, fragmentiert und verzögert".
Die Kläger argumentieren, dass die Risiken weit über finanzielle Verluste hinausgehen. Anders als gehackte Wallets oder gestohlene Token können persönliche Identitätsdokumente – einmal offengelegt – nicht wiederhergestellt oder geändert werden. Dies macht Opfer anfällig für langfristige Bedrohungen wie Identitätsdiebstahl, Phishing und finanziellen Betrug.
Eine Klage fügt speziell eine Anklage wegen "ungerechtfertigter Bereicherung" hinzu und beschuldigt Coinbase, unzureichend in Sicherheit investiert zu haben, während das Unternehmen finanziell von den Daten und Aktivitäten der Nutzer profitierte.
Eine weitere, die in Kalifornien eingereicht wurde, geht einen Schritt weiter und fordert, dass Coinbase alle sensiblen Benutzerdaten in seinem Besitz vernichtet, externe Audits seiner internen Systeme durchführt und seine Datenaufbewahrungs- und Zugangsrichtlinien überarbeitet.
Alle Klagen streben finanzielle Entschädigungen und einstweilige Verfügungen an, obwohl unklar bleibt, wie konsolidiert oder langwierig der Rechtsprozess wird.
Breitere Auswirkungen auf die Branche: Insider-Risiken und Zentralisierung
Der Coinbase-Verstoß und die anschließenden Klagen werfen kritische Fragen über die Risiken zentralisierter Infrastruktur im Bereich der Krypto auf. Während dezentrale Finanzen (DeFi) darauf abzielen, vertrauenswürdige Vermittler zu entfernen, halten Börsen wie Coinbase weiterhin die Verwahrung nicht nur von Krypto-Assets, sondern der gesamten Benutzerdaten-suite, die nach den Gesetzen zur Bekämpfung der Geldwäsche (AML) erforderlich ist.
Diese Datensammlung macht zentralisierte Börsen zu äußerst attraktiven Zielen für Cyberkriminelle. Doch in diesem Fall resultierte der Verstoß nicht aus einem ausgeklügelten Exploit von Software-Schwachstellen. Stattdessen resultierte er aus Social Engineering und Insider-Manipulation – einem Bedrohungsvektor, der notorisch schwer zu erkennen oder mit Code allein zu verhindern ist.
Mit der wachsenden Anzahl von in den USA ansässigen Spot-Bitcoin- und Ethereum-ETFs wächst auch Coinbase’s institutionelle Rolle. Das Unternehmen dient derzeit als Verwahrer für die Mehrheit der von der SEC genehmigten Krypto-ETFs. Diese Zentralisierung fügt eine weitere Schicht systemisches Risiko hinzu.
"Wenn Coinbase seine internen Systeme nicht sichern kann, ist die gesamte ETF-Struktur, die darauf aufgebaut wurde, gefährdet", bemerkte Eleanor Terret, eine Finanzjournalistin, die über Vorschriften zu digitalen Vermögenswerten berichtet.