Coinbase aurait été prévenue en janvier qu’un employé d’une entreprise externe pourrait être à l’origine d’une fuite de données clients, bien avant que la société ne rende l’affaire publique le mois dernier.

Une partie de cette faille, que Coinbase a officiellement dévoilée dans un document réglementaire daté du 14 mai, s’est produite lorsqu’une employée basée en Inde chez TaskUs, la société sous-traitante, a été surprise en train de prendre en photo son ordinateur de travail avec son téléphone personnel, a rapporté Reuters le 3 juin, citant cinq anciens employés de TaskUs.

Ces anciens employés ont déclaré avoir été informés que cette employée, ainsi qu’un complice présumé, auraient fourni des informations clients de Coinbase à des hackers en échange d’argent. Coinbase aurait été immédiatement informé de l’incident.

TaskUs est une société américaine d'externalisation qui opère en Inde et qui, selon une plainte déposée à Manhattan le 27 mai, aurait pris en charge l'assistance à la clientèle de Coinbase.

Plus de 200 salariés de TaskUs ont été licenciés en janvier dans une vague de suppressions de postes qui a provoqué des manifestations et attiré l’attention des médias indiens. Toutefois, seuls deux employés ont été identifiés comme les principaux responsables de la fuite, qui a affecté près de 70 000 clients.

Capture d'écran du procès intenté à TaskUs. Source: PacerMonitor

Coinbase a déclaré à Reuters qu’elle avait « coupé les liens avec le personnel TaskUs impliqué ainsi qu’avec d’autres agents à l’étranger, et renforcé les contrôles. »

Coinbase a refusé une demande de rançon de 20 millions de dollars après que des hackers ont divulgué des données utilisateurs à la mi-mai, ce qui a poussé l’entreprise à rendre l’affaire publique.

Coinbase n’a pas immédiatement répondu à une demande de commentaire.

TaskUs accusé d’une fuite de données crypto en 2022

TaskUs avait déjà été mise en cause dans une affaire de fuite de données en 2022. Shopify et TaskUs faisaient alors face à une plainte pour ne pas avoir suffisamment protégé les données clients, à la suite d’un piratage sur les serveurs de Ledger, le fabricant français de portefeuilles crypto.

La plainte affirmait que Shopify et TaskUs avaient attendu plus d’une semaine avant d’informer les utilisateurs concernés.

Depuis cette fuite, les clients de Ledger restent ciblés par des campagnes d’hameçonnage et des escroqueries, à cause de la diffusion massive de leurs données personnelles.