Coinbase висуваються все більш високі юридичні вимоги після розкриття, що витік даних через підкуп привів до компрометації особистої інформації його користувачів.
Судові позови, подані у федеральних судах Нью-Йорка та Каліфорнії 15 та 16 травня, обвинувачують компанію в тому, що вона не виконала основні обов'язки із захисту даних та дала повільну, роздроблену відповідь, яка вже була під пильною увагою Комісії з цінних паперів та бірж США (SEC).
Позови вказують на системні недоліки, які дозволили зловмисникам підкупити представників служби підтримки клієнтів, щоб отримати несанкціонований доступ до внутрішніх систем Coinbase. Позивачі стверджують, що цей випадок відображає ширші вразливості в інфраструктурі безпеки платформи - ті, які можуть бути не унікальними для Coinbase у все більш важливому світі централізованих криптовалютних бірж.
Згідно з заявами Coinbase, витік даних виник, коли кіберзлочинці запропонували кільком співробітникам служби підтримки хабарі, нібито пропонуючи гроші через Telegram в обмін на доступ до внутрішніх адміністративних інструментів. Хоча Coinbase підтвердила звільнення співробітників підтримки в Індії, яких було залучено у витік, повний обсяг внутрішньої відповідальності залишається неясним.
Зловмисники, ймовірно, отримали доступ і викрадені такі дані користувачів, як:
- Імена, електронні пошти, номери телефонів
- Домашні адреси
- Останні чотири цифри номерів соціального страхування
- Ідентифікаційні документи, такі як паспорти та водійські права
- Метадані акаунтів, включаючи баланси та історію трансакцій
Компанія повідомила 15 травня, що отримала вимогу викупу в $20 мільйонів лише чотири дні раніше, що свідчить про затримку між первинним витоком і публічним розголосом. Користувачі та юридичні спостерігачі стверджують, що ця затримка додатково погрожувала небезпекам для постраждалих осіб, затримуючи необхідні заходи обережності, такі як заморожування акаунтів або початок перевірки кредиту.
Судові позови зосереджуються на недбалості та неналежних практиках безпеки
Судові позови проти Coinbase мають спільну тему: компанія не змогла впровадити та підтримувати належний захист безпеки для захисту конфіденційних даних клієнтів.
Один з основних позовів, поданий Полом Бендером у федеральному суді Нью-Йорка, стверджує, що Coinbase "не вдалося впровадити розумні запобіжні заходи", які піддали небезпеці мільйони користувачів "серйозним і тривалим ризикам". У позові також критично оцінюється стратегія комунікації компанії, описуючи її як "недостатню, роздроблену та запізнілу".
Позивачі стверджують, що ризики йдуть далеко за межі фінансових втрат. На відміну від зламаних гаманців або вкрадених токенів, особисті документи - раз відкриті - не можуть бути відновлені або змінені. Це робить жертв уразливими для тривалої загрози, такої як крадіжка ідентичності, фішинг і фінансове шахрайство.
Один позов спеціально додає звинувачення в "несправедливому збагаченні", звинувачуючи Coinbase у тому, що вона не вклала досить у безпеку, отримуючи при цьому фінансовий виграш від даних і активності користувачів.
Інший, поданий у Каліфорнії, йде ще далі, вимагаючи, щоб Coinbase видалила всі конфіденційні дані користувачів, провела сторонні аудити своїх внутрішніх систем та переглянула свої політики зберігання даних та доступу.
Всі позови шукають фінансової компенсації та судового захисту, хоча залишається невідомо, наскільки консолідований або тривалий буде процес судових розглядів.
Ширші наслідки для індустрії: внутрішня загроза і централізація
Витік даних Coinbase - і наступні судові позови - піднімають критичні питання про ризики централізованої інфраструктури в криптовалютному секторі. Хоча децентралізовані фінанси (DeFi) прагнуть усунути довірених посередників, біржі, такі як Coinbase, продовжують зберігати не лише криптоактиви, а й весь комплекс даних користувачів, які вимагаються законами про знай свого клієнта (KYC) та боротьбу з відмиванням грошей (AML).
Цей обсяг даних робить централізовані біржі дуже привабливими цілями для кіберзлочинців. Але в цьому випадку витік не був наслідком складного використання вразливостей програмного забезпечення. Замість цього це була соціальна інженерія та внутрішня маніпуляція - вектор загрози, який важко виявити чи запобігти лише за допомогою коду.