Coinbaseは、 賄賂によりデータ侵害が発生し、ユーザーの個人情報が漏洩したことを開示した後、法的圧力が高まっている。 侵害が公表され、関連する2千万ドルの強要未遂が明らかになってから48時間以内に、少なくとも6件の連邦政府による訴訟が起こされ、 企業の過失、不十分な内部統制、そして侵害後の対応の処理の不備を訴えている。
5月15日から16日の間にニューヨークとカリフォルニアの連邦裁判所で提起された これらの法的措置は、 基本的なデータ保護責任の崩壊と交換所の遅く、断片的な対応を告発しており、すでにSEC(証券取引委員会)からの監視下にある。
訴訟は、脅威を与える者がカスタマーサービス担当者を賄賂で抱き込み、 Coinbaseの内部システムへの不正アクセスを許したシステム上の失敗に注目している。原告は、この事件が プラットフォームのセキュリティインフラストラクチャの幅広い脆弱性を反映しており、 集中型暗号取引所の世界では、Coinbaseだけの問題ではないかもしれないと主張している。
Coinbaseの自身の声明によると、そのデータ侵害は、サイバー犯罪者が 複数のサポートスタッフに賄賂を提供し、Telegramを介して金銭を提供し 内部管理ツールへのアクセスを要求したことが発端だったという。 Coinbaseは、侵害に関与したインドのサポートエージェントを解雇したことを確認したが、 内部の責任の全体像は不明である。
攻撃者はと報告されている。
- 名前、メール、電話番号
- 居住住所
- 社会保障番号の最後の4桁
- パスポートや運転免許証などのIDドキュメント
- 残高や取引履歴を含むアカウントメタデータ
5月15日に、会社は初の侵害からわずか4日前に2千万ドルの身代金要求を受けたと 明らかにし、公共への開示と被害者が受けたリスクとの間に遅れがあったことを示している。
▲ 訴訟が標的とする過失と不十分なセキュリティ慣行
Coinbaseに対する訴訟は、共通のテーマを持っている:交換所が 敏感な顧客データを保護するための適切なセキュリティ対策を実装し、 維持することに失敗したということである。
最も重要な提訴の一つとして、ニューヨークの連邦裁判所に提出された Paul Benderによるものがあり、Coinbaseが「合理的な安全対策の実装に失敗した」と主張しており、 それが「重大で継続的なリスク」に数百万人のユーザーを晒したと述べている。 訴状はまた、会社のコミュニケーション戦略を「不十分、断片的で遅延している」と批判している。
原告はリスクが金銭的損失を超えていると主張している。 ハッキングされたウォレットや盗まれたトークンとは異なり、 個人情報書類は一度露出すると回復や変更が不可能である。 これは被害者を、アイデンティティの盗難、フィッシング、財務詐欺 のような長期的な脅威にさらす。
単なる財務損失を除いて、個人情報の漏洩に起因する危険は 制御不能であると訴訟で強調されている。