Ändringar i grupptalan mot TaskUs
Ändringar i en grupptalan i New York mot TaskUs har lagt till nya påståenden om systematiska säkerhetsbrister och att företaget har dolt ett dataintrång kopplat till Coinbase kunddata. Den ändrade stämningen, som lämnades in på tisdagen vid Southern District of New York, tillför viktiga element till tidigare avslöjanden om hur Coinbase hanterade kunddata under tidslinjen för det massiva intrånget, från dess ursprung i slutet av 2024 till Coinbases slutliga avslöjande i maj, med förluster som uppskattas till så mycket som 400 miljoner dollar.
”Detta var ett kriminellt mutskema som började i slutet av 2024 och utnyttjade både externa leverantörer och ett litet antal Coinbase CX-personal utanför USA, vilket möjliggjorde social engineering-bedrägerier mot mindre än 1% av de månatliga transaktionsanvändarna,” sa en talesperson för Coinbase till Decrypt.
Kryptobörsen uppgav att den omedelbart meddelade berörda användare och tillsynsmyndigheter, och ersatte drabbade kunder när den skärpte kontrollerna för leverantörer och insiders. Coinbase har sedan dess avslutat sin relation med TaskUs och vägrat att ”betala brottslingarna” istället för att skapa ”ett belöning på 20 miljoner dollar för information som leder till gripanden och fällande domar,” bekräftade talespersonen för Decrypt. TaskUs återkom inte omedelbart till Decrypts begäran om kommentar.
Koordinerat schema och anklagelser
Viktiga förändringar i stämningen beskriver ett koordinerat schema inom TaskUs verksamhet i Indien, där anställda påstås ha mutats för att fotografera känslig kontoinformation och överlämna den till brottslingar. Klagande hävdar att konspirationen spred sig bortom frontlinjepersonal, vilket ledde till att TaskUs avskedade cirka 300 anställda i januari. Outsourcingföretagets offentliga uttalanden påstås ”dölja en mycket bredare och koordinerad kriminell kampanj som involverade dussintals, om inte hundratals TaskUs-anställda,” står det i stämningen.
Inlämningen anklagar också TaskUs för att dölja omfattningen av intrånget. Enligt klagande ”tog företaget steg för att tysta dem med kunskap om intrånget” och avskedade sin egen personal inom HR som hade till uppgift att utreda intrånget i februari. Det fortsatte senare att informera tillsynsmyndigheter om att det inte hade drabbats av något materiellt intrång, och gick vidare med en uppköp på 1,6 miljarder dollar genom Blackstone innan Coinbase erkände händelsen i maj.
Regulatoriska och juridiska aspekter
En Form 10-K-inlämning från TaskUs i februari nämnde inga faktorer som rörde Coinbase-intrånget, vilket innebar att det effektivt påstod att det ”inte var medvetet om något materiellt dataintrång som påverkade företaget,” innan Coinbase erkände händelsen i maj, enligt den ändrade stämningen. Den ändrade stämningen utvidgar också påståenden om att TaskUs ignorerade avsnitt 5 i FTC-lagen och ramar in bristerna som systematiska snarare än isolerade.
”Även om inte alla riktlinjer är juridiskt bindande, kan ignorering av dem visa att ett företag var vårdslöst eller vilseledande,” sa Andrew Rossow, offentlighetsadvokat och VD för AR Media Consulting, till Decrypt.
Domstolar och tillsynsmyndigheter väger huruvida den komprometterade datan var tillräckligt känslig för att utsätta människor för identitetsstöld eller ekonomisk förlust, förklarade Rossow. De kommer också att undersöka om skyddsåtgärder som kryptering eller flerfaktorsautentisering användes, om riskerna var förutsebara, om säkerhetslöften stämde överens med verkligheten, och om konsumenter hade några medel för att skydda sig själva.
