Coinbase史上最大「资料外泄事件」内幕：外包商内鬼串谋骇客，每笔资料售200美元

纽约南区法院提交的修订集体诉讼文件，披露了 Coinbase 史上最大资料外泄事件的更多细节。
（前情提要：6.9万名Coinbase用户资料外泄》官方：最高赔偿4亿美元、拒绝支付骇客赎金）
（背景补充：Base链宣布正探索「发行代币」，Coinbase为何推翻不发币承诺？）

美国上市加密货币交易所 Coinbase 在今年 5 月曾收到骇客勒索信，骇客声称掌握了 Coinbase 的内部系统细节与用户个人资讯，随后 Coinbase 向美国证券交易委员会（SEC）提交文件，确认 69,461 名用户资料外泄。

受影响的资料包括姓名、地址、电话号码、政府身份证件、银行帐户详情及交易纪录。虽然用户登入凭证与核心钱包未直接受损，但骇客利用这些资料进行了大量社会工程攻击，假冒 Coinbase 员工诈骗用户，造成了重大财务损失。

Coinbase 在事件曝光后承诺将全额赔偿受影响用户，并提供一年免费身份保护服务，但因延迟至 5 月才公开事件（事发可追溯至 2024 年 9 月），引发了用户与监管机构的批评。

纽约法院文件揭露：TaskUs 员工收贿泄密

近期，根据纽约南区法院提交的修订集体诉讼文件显示，这起资料外泄事件的幕后黑手指向了 Coinbase 的外包合作伙伴：美国业务流程外包公司 TaskUs。调查显示，犯罪分子透过贿赂 TaskUs 在印度的客户支援员工，成功渗透进入了 Coinbase 的营运系统，窃取了大量用户资料。

据介绍，TaskUs 员工被指以每张照片 200 美元的价格，拍摄电脑萤幕上显示的 Coinbase 客户资料，并将照片传递给骇客。调查点名一名员工 Ashita Mishra 于 2024 年 9 月起参与犯罪，她每天最多拍摄 200 张照片，储存超过 1 万名用户的个人资料于手机中。且犯罪团伙采取「中心辐射」模式，Mishra 与同伙指挥多个小团体执行任务，参与者彼此不知情。诉状估计，TaskUs 员工透过此方式累计获取了超过 50 万美元的贿款，相当于印度逾 100 名员工的年薪总和。

文件指控 TaskUs 存在系统性管理失误，未能有效监控员工行为。 2025 年 1 月，TaskUs 发现外泄事件后便解雇了约 300 名涉案员工，但原告称公司试图压制内部调查，甚至开除提出疑虑的人力资源人员，并延迟向 Coinbase 与公众披露事件，导致损失扩大。

Coinbase 与 TaskUs 的后续处理

Coinbase 在事件曝光后迅速采取行动，终止了与涉案 TaskUs 员工及其他海外代理的合作，并悬赏 2,000 万美元缉捕骇客。 TaskUs 则面临声誉危机，作为全球知名的 BPO 供应商，其管理漏洞也影响了其与其他科技公司的合作。

分析师指出，这起事件凸显出加密货币行业外包敏感业务的风险，未来可能将会促使交易所重新评估海外营运模式。目前此案仍在司法程序中，后续进展将进一步影响 Coinbase 与 TaskUs 的责任归属。