Coinbase est confronté à une avalanche de poursuites après avoir récemment révélé une violation de données utilisateurs, des clients accusant l'exchange crypto de mauvaise gestion de l’incident.
Au moins six plaintes ont été déposées contre Coinbase entre le 15 et le 16 mai, accusant toutes la plateforme de ne pas avoir respecté des protocoles de sécurité rigoureux pour protéger les données des utilisateurs, et d’avoir mal géré les conséquences de la violation.
Dans l’une des plaintes déposée le 16 mai devant un tribunal fédéral de New York, le plaignant Paul Bender affirme que Coinbase n’a pas su protéger les informations personnelles sensibles de millions d’utilisateurs lors de la violation de données.
Coinbase a déclaré, le 15 mai, avoir été la cible, quatre jours plus tôt, d’une tentative d’extorsion de 20 millions de dollars après que des cybercriminels ont soudoyé plusieurs agents du support client pour accéder aux systèmes internes et dérober une quantité limitée de données de comptes utilisateurs.
Les données volées comprenaient les noms, adresses, numéros de téléphone, adresses e-mail, les quatre derniers chiffres des numéros de sécurité sociale, certains identifiants de comptes bancaires, des permis de conduire, des passeports ainsi que certaines informations de compte, telles que des aperçus de soldes et des historiques de transactions.
Bender a affirmé que « Coinbase n’a pas mis en place ni maintenu des mesures de sécurité raisonnables », exposant ainsi les utilisateurs à des « risques graves et persistants ».
La plainte affirme également que la réponse de Coinbase à l’incident a été « insuffisante, fragmentée et tardive ».
« Les utilisateurs n’ont pas été informés rapidement ni de manière complète de la compromission, et Coinbase n’a pas immédiatement pris de mesures concrètes pour limiter les dégâts, fournir des services de protection d’identité ou proposer des recommandations utiles aux personnes concernées », affirme la plainte.
La plainte affirme que les utilisateurs sont exposés à une menace « importante, immédiate et persistante » de vol d’identité et de fraude financière, et que les conséquences de cette violation pourraient être durables, voire « potentiellement permanentes », car les informations compromises ne peuvent ni être récupérées ni sécurisées une fois divulguées.
Plusieurs actions en justice reprennent les mêmes accusations
Deux autres plaintes déposées devant un tribunal fédéral de New York ont formulé des accusations similaires contre Coinbase, tandis qu’une quatrième a ajouté une allégation d’enrichissement injustifié, affirmant que la plateforme n’avait pas investi suffisamment dans des mesures de sécurité des données.
Les quatre plaintes réclament des dommages-intérêts ainsi que d’autres mesures visant à protéger les données sensibles des plaignants.
Parallèlement, une cinquième plainte déposée le 15 mai devant un tribunal fédéral en Californie a formulé des accusations similaires contre Coinbase, mais a demandé à la cour d’ordonner à la plateforme de supprimer toutes les données sensibles qu’elle détient sur les plaignants et d’engager des auditeurs de sécurité externes pour tester ses systèmes, entre autres requêtes.
Un porte-parole de Coinbase n’a pas commenté les poursuites en cours et a plutôt renvoyé Cointelegraph vers un article de blog publié par la plateforme au sujet des violations de données.
Coinbase a indiqué avoir refusé de payer la rançon de 20 millions de dollars et prévoit d’indemniser les utilisateurs qui ont été piégés et ont envoyé des cryptomonnaies à des escrocs à la suite de la violation de données.
Dans un document déposé auprès de la Securities and Exchange Commission (SEC) des États-Unis, la plateforme a indiqué qu’elle s’attend à des dépenses de remboursement comprises entre 180 et 400 millions de dollars.
La plateforme aurait également licencié un groupe d’agents du support client basés en Inde, soupçonnés d’avoir participé à des attaques de type ingénierie sociale visant des utilisateurs.
L’action Coinbase (COIN) a chuté de 7 %, tombant à 244 dollars, après la révélation de la violation de données et l’annonce d’une enquête en cours de la SEC concernant des chiffres d’utilisateurs erronés en 2021.
Depuis, le titre a rebondi, enregistrant une hausse de 9 % pour atteindre 266 dollars à la clôture du 16 mai, selon Google Finance.
