Coinbase 因客服人員受賄與用戶資料外洩遭提告

Coinbase 公布其客服人員涉賄受賄，導致用戶個資被洩並遭 2,000 萬美元勒索後，正面臨日益升高的法律壓力。交易所公開事件及勒索案後的 48 小時內，至少六宗聯邦訴訟接連提出，原告指控該公司疏於管理、內控不良及對事件處理不當。

這些訴訟於 5 月 15 日至 16 日間分別在紐約和加州聯邦法院提出，指 Coinbase 基本資料保護責任失守，且反應緩慢、分工混亂。Coinbase 同時還受到美國證券交易委員會（SEC）監管審查。

訴狀指出，系統性管理缺陷讓威脅者得以賄賂客服人員，未經授權進入內部系統。原告認為，這起事件反映該平台資安結構的更大漏洞，且在中心化交易所日益關鍵的格局下，這些風險並非 Coinbase 所獨有。

根據 Coinbase 自行說明，這次資料外洩事件源於駭客向多位客服員工行賄，並據報透過 Telegram 提供金錢以換取內部管理系統的存取權。目前 Coinbase 已證實遭牽連的駐印度客服人員遭解僱，但內部究責範圍依然不明。

攻擊者據傳取得並擷取了用戶包括：

• 姓名、電子郵件、電話號碼
• 居住地址
• 社會安全碼末四碼
• 身分證件如護照、駕照
• 帳戶資料，包括餘額和交易紀錄

Coinbase 於 5 月 15 日公開表示，四天前曾收到 2,000 萬美元勒索要求，顯示事件曝光與實際發生之間有時間落差。用戶及法律界人士指出，這段遲滯增加受害人風險，拖延了凍結帳號或啟動信用監控等必要措施。

訴訟重點：疏忽與資安措施不足

各項訴訟均指出 Coinbase 未妥善防護用戶敏感資料。

紐約聯邦法院由 Paul Bender 領銜的訴狀稱 Coinbase「未執行合理的防護措施」，導致數百萬名用戶處於「嚴重且持續的風險」中。訴狀也批評公司溝通策略「不足、破碎且延遲」。

原告強調，風險遠超越金錢損失。一旦個人證件資料遭外洩，無法重置或變更，使受害人長期暴露於身分盜用、釣魚詐騙及金融詐欺等威脅下。

有一宗訴訟特別控告 Coinbase「不當得利」，指其未投資足夠資安防護，卻從用戶數據與活動中獲利。

另一起加州訴訟進一步要求 Coinbase 刪除所有持有的敏感用戶資料，接受第三方系統審計，並全面改革數據保存及存取政策。

所有訴訟均請求經濟賠償與強制性救濟，但訴訟是否整合及最終持續時間仍未明朗。

產業觀點：內部風險與中心化系統挑戰

Coinbase 事件與後續訴訟，凸顯加密產業面臨的中心化基礎設施風險。去中心化金融（DeFi）致力移除信任中介，但如 Coinbase 這類中心化交易所，除了資產外還保管大量依法律（KYC、AML）所需的用戶身份資料。

這使中心化交易所成為網路攻擊者的首要目標。而本案並非因軟體漏洞遭攻擊，而是源於社會工程與內部人員被操控——這類威脅難以僅靠技術防堵。

隨著美國現貨比特幣、以太幣 ETF 增加，Coinbase 擔任托管方的角色亦加重。這種中心化進一步加深系統性風險。

財經記者 Eleanor Terret 指出：「如果 Coinbase 都無法保證內部系統安全，以其為基礎的 ETF 結構全都岌岌可危。」

面臨 SEC 調查與財務衝擊

除了訴訟外，Coinbase 也向 SEC 披露，預計因用戶賠償及應變成本產生 1.8 億至 4 億美元開銷。公司雖拒絕支付贖金，但承諾補償被騙將加密貨幣匯給駭客的受害人。

傳聞 SEC 正調查 Coinbase 在 2021 年財報用戶數據申報失實等議題，加深了公司面臨的監管挑戰。

外洩消息當日，Coinbase 股票（COIN）下跌 7%，至 244 美元。隔日反彈 9%，顯示投資人或預期長線有韌性，或已習慣加密相關股票的波動。

資安機制備受檢討

Coinbase 內部存取管控目前備受外界檢視。業內專家認為，客服人員不應能夠存取用戶完整身份資料。

一位前美國持牌交易所合規官表示：「客服支援不該接觸完整 KYC 資料，更不應缺乏加密記錄或權限分層，這根本就是在賭運氣。」

這波改革呼聲並不止於 Coinbase。整個產業都被敦促：

• 降低對內部敏感資料的存取
• 實施嚴格的角色分級權限控制
• 以加密驗證方式記錄所有資料請求
• 使用零知識證明或加密憑證進行支援驗證
• 對用戶揭露誰在何時存取其數據

這些措施雖耗資且運作複雜，但不斷增加的法律與聲譽成本，讓交易所已無選擇。

用戶面臨現實世界風險

除法律層面外，受影響的 Coinbase 用戶正面對極為真實的風險。法律專家警告，尤其是身分文件和住址資料，足以讓駭客開設假信貸、冒名金融交易，甚至身遭實體威脅。

金融科技律師 Ariel Givner 接獲諸多用戶來信，他們不僅擔心財產損失，更憂心人身安全。加密持有加上個資外洩構成特別危險的威脅。

此事件正值加密圈關注實體暴力案件上升。今年初，巴黎曾發生加密高管家人遭綁架未遂案。當住址和財富指標遭洩，類似犯罪更具真實威脅。

中心化交易所信任危機

Coinbase 資安外洩凸顯加密產業的矛盾：交易所為追求規模化與合規，卻越加中心化並暴露於更高風險。

長期以來，去中心化論述始終聚焦在區塊鏈與共識機制。但對大多數用戶而言，接觸加密經濟的起點與終點就是中心化交易所。當這關卡失守，整個生態圈都受波及。

Coinbase 的系列訴訟或促使平台改變內部管理、強化資料最小化，並重新思考 KYC 資料的托管架構。

在此之前，用戶仍受制於不透明的內部系統、權限過大的客服人員，以及遠落後於金融商品本身的資訊政策。

結語

Coinbase 遭遇集體訴訟，不僅是公司危機，也是中心化加密業營運風險與合規資安極限的案例。內部人員受賄調取數據，標誌威脅手法新階段，已非公關聲明或部分賠償即可平息。

Coinbase 是否能為自己辯護成功，取決於內部政策細節、資訊揭露流程及對用戶的保護力。

無論最終結果如何，此事件都已促使加密交易所正視身分、權限及信任交會的議題，而真正的威脅很可能來自防火牆內部。