Coinbase 在披露一起由贿赂驱动的数据泄露事件中,用户个人信息被泄露后,正面临日益加大的法律压力。交易所披露此事及相关的2,000万美元勒索尝试后的48小时内,至少有六起联邦诉讼提起,原告指控公司疏忽、内部控制不良以及对事件后续处理不当。
此类法律行动于5月15日至16日之间在纽约和加州的联邦法院提起,指控交易所在基本数据保护职责上出现故障,响应迟缓且碎片化,而美国证券交易委员会(SEC)对其进行监管审查。
诉讼指出,系统性缺陷允许威胁者贿赂客服代表以获取Coinbase内部系统的未经授权访问权。原告认为,此事件反映了平台安全结构中更广泛的漏洞——这些漏洞可能并非Coinbase所独有,而是整个加密货币交易所世界中愈加风险高企。
根据Coinbase的声明,数据泄露始于网络犯罪分子向多名支持人员提供贿赂,报告称通过Telegram提供金钱以换取访问内部管理工具的权限。尽管Coinbase已确认解雇涉事的印度支持代理,但内部问责的全貌仍不明确。
据称,攻击者访问并提取了用户数据,包括:
- 姓名、电子邮件、电话号码
- 住址
- 社会安全号码的最后四位数
- 身份证件如护照和驾照
- 账户元数据,包括余额和交易记录
公司于5月15日披露,四天前曾收到2,000万美元的赎金要求,这意味着从最初泄露到公开披露之间存在延迟。用户和法律观察员认为,这种时间滞后进一步使受影响个体处于危险之中,因为其延误了暂停账户或启动信用监控等必要的预防措施。
诉讼聚焦于过失和不足的安全做法
针对Coinbase提起的诉讼有一个共同的主题:交易所未能执行和维护足够的安全防护措施以保护敏感客户数据。
Paul Bender在纽约联邦法院提起的其中一项主要诉讼称,Coinbase“未能实施合理保护措施”,导致数百万用户暴露于“严重且持续的风险”中。诉讼还批评该公司的沟通策略,称其“不充分、碎片化且延迟”。
原告认为,风险远不止金钱损失。与被黑客攻击的钱包或被盗令牌不同,个人身份文件一旦曝光,无法恢复或更改。这使受害者面临长期威胁,如身份盗窃、网络钓鱼和金融欺诈。
一项诉讼特别添加了“不当得利”指控,指责Coinbase未能在安全上进行足够的投资,而以用户数据和活动为财务受益。
另一项在加州提起的诉讼则更进一步,要求Coinbase清除其所持有的所有敏感用户数据,进行第三方审计其内部系统,并全面检讨数据保存和访问政策。
所有诉讼均寻求财政赔偿和禁制令救济,不过尚不明确法律程序将如何整合或者拖延。
更广泛的行业影响:内部风险和集中化
Coinbase的数据泄露及随后的诉讼引发了关于加密货币的集中化基础设施风险的重要问题。虽然去中心化金融(DeFi)旨在去除受信中介,但Coinbase等交易所仍然不仅持有加密资产,还持有根据了解客户(KYC)和反洗钱(AML)法律所需的完整用户身份数据。
区块链和共识协议上的去中心化叙述在多年间已深入人心。但是对于大多数用户而言,他们与加密经济的第一个和最后一个接触点还是一个中心化的交易所。当该交易所成为故障点时,整个生态系统即处于风险之中。
针对Coinbase的诉讼可能成为转折点,推动平台彻底改革内部实践,优先考虑数据最小化,并考虑KYC数据托管的新架构。