Wichtige Einblicke:
- Coinbase wusste Berichten zufolge seit Januar 2025 von dem Leck in der indischen Einrichtung von TaskUs.
- Indischer Angestellter fotografiert Arbeitscomputer, um Kundendaten gegen Bestechungsgelder an Hacker weiterzugeben.
- Mehr als 200 TaskUs-Mitarbeiter werden nach der Untersuchung der Coinbase-Datenpanne entlassen.
Eine kürzlich durchgeführte Untersuchung der Datenpanne bei Coinbase hat ergeben, dass die Börse bereits im Januar 2025 von einem Leck in den Kundendaten einer indischen Outsourcing-Einrichtung wusste.
Dies geschah lange vor der Enthüllung der Details des Einbruchs im Mai. Der Vorfall betraf TaskUs-Mitarbeiter in Indien, die angeblich Coinbase-Kundendaten im Austausch gegen Bestechungsgelder an Hacker weitergaben.
TaskUs-Mitarbeiter beim Fotografieren von Kundendaten in Indien erwischt
Laut fünf ehemaligen TaskUs-Mitarbeitern, die mit der Nachrichtenagentur Reuters sprachen, wurde die Sicherheitslücke am indischen Standort des Unternehmens entdeckt, nachdem eine Mitarbeiterin in der Stadt Indore dabei beobachtet wurde, wie sie mit ihrem privaten Telefon Fotos von ihrem Arbeitscomputerbildschirm machte.
Die Frau und ein mutmaßlicher Komplize haben angeblich Coinbase-Kundendaten an externe Hacker weitergegeben und dafür Bestechungsgelder erhalten.
Kollegen, die den Vorfall sahen, und Ermittler des Unternehmens informierten umgehend andere Mitarbeiter darüber. Dem Artikel zufolge hat TaskUs, sobald es von dem Vorfall bei Coinbase erfuhr, die Börse informiert.
Der Vorfall ereignete sich im Januar 2025. Das volle Ausmaß der Sicherheitskampagne wurde Coinbase jedoch erst bewusst, als am 11. Mai 2025 eine Erpressungsforderung in Höhe von 20 Millionen Dollar einging.
Nach dieser Entdeckung führte TaskUs eine Massenentlassung durch, bei der mehr als 200 Mitarbeiter entlassen wurden. Diese Maßnahme erregte auch die Aufmerksamkeit der indischen Medien. Das Ausmaß der Entlassungen deutet darauf hin, dass das Unternehmen umfangreiche Maßnahmen ergriffen hat, um potenzielle Sicherheitsrisiken innerhalb seines Betriebs zu beseitigen.
TaskUs bestätigte in einer Erklärung, dass zwei Mitarbeiter Anfang 2025 entlassen worden waren, nachdem sie sich illegal Zugang zu Kundendaten verschafft hatten. Allerdings nannte das Unternehmen zunächst nicht Coinbase als den betroffenen Kunden.
Nach Angaben des Outsourcing-Unternehmens hat es den Kunden sofort über das Verhalten informiert. Sie dachten, die beiden seien Teil einer größeren, geplanten kriminellen Verschwörung, die auch andere Dienstleister betraf, die mit demselben Kunden zusammenarbeiteten.
Coinbase verzögert Offenlegung trotz früher Kenntnis des Einbruchs
Die zeitliche Offenlegung der Sicherheitsverletzung hat Fragen darüber aufgeworfen, wann das Unternehmen erstmals von dem Sicherheitsvorfall erfahren hat und warum es Monate gedauert hat, die Öffentlichkeit zu informieren.
Coinbase wurde über das TaskUs-Problem informiert, sobald es im Januar 2025 entdeckt wurde. Laut Reuters-Quellen hat das Unternehmen die Sicherheitslücke jedoch erst am 14. Mai in einem SEC-Filing bekannt gegeben.
Die Kryptowährungsbörse hatte zuvor „Support-Agenten in Übersee“ für den Verstoß verantwortlich gemacht, ohne genaue Angaben zum Zeitrahmen oder zum Umfang ihres Wissens zu machen.
In seinem SEC-Filing vom Mai erklärte Coinbase, es habe gewusst, dass Auftragnehmer in den „vorangegangenen Monaten“ auf Mitarbeiterdaten „ohne geschäftliche Notwendigkeit“ zugegriffen hätten. Sie behaupteten jedoch, sie hätten erst gemerkt, dass der Zugriff Teil einer umfassenderen Kampagne war, als sie die Erpressungsforderung am 11. Mai erhielten.
Von der Sicherheitsverletzung waren 69.461 Nutzer betroffen, was allerdings nur einen kleinen Teil des gesamten Kundenstamms von Coinbase ausmacht. Das Ausmaß der durchgesickerten Daten machte den Vorfall für die betroffenen Nutzer jedoch sehr beunruhigend.
Coinbase hat die Lösegeldforderung in Höhe von 20 Millionen Dollar nicht beglichen. Vielmehr hat Coinbase den Einbruch öffentlich gemacht und die betroffenen Nutzer informiert. Außerdem wurde eine Belohnung von 20 Millionen Dollar für Hinweise ausgesetzt, die zur Verhaftung der Angreifer führen.
Die geschätzten Gesamtkosten belaufen sich auf 180 bis 400 Millionen Dollar, vor allem aufgrund der Kosten für die Behebung der Schäden, der Rückerstattungen an Kunden und der Verluste durch Phishing-Betrug, die durch die gestohlenen Informationen ermöglicht wurden.
Mehrere Agenten in Übersee in koordinierten Coinbase-Einbruch verwickelt
Der Coinbase-Hack war bedeutender als die TaskUs-Kompromittierung und beinhaltete einen offenbar koordinierten kriminellen Angriff auf mehrere Dienstanbieter.
Coinbase räumte in seinem Schreiben an Reuters ein, dass es „seine Beziehungen zu den beteiligten TaskUs-Mitarbeitern und anderen ausländischen Agenten beendet hat“.
TaskUs bezeichnete den Vorfall als Teil einer „viel größeren, organisierten kriminellen Aktivität“, die nicht nur ihr Unternehmen betraf, sondern auch „eine Reihe anderer Anbieter, die für diesen Kunden arbeiten“.
Das bedeutet, dass die Hacker ein Netzwerk von Kontakten innerhalb verschiedener Outsourcing-Unternehmen aufgebaut hatten, die den Kundensupport von Coinbase abwickelten.
Das Ausmaß des kriminellen Unternehmens lässt auf einen ausgeklügelten Plan zum Datendiebstahl schließen. Die Hacker haben Berichten zufolge Mitarbeiter aus verschiedenen ausländischen Werken eingesetzt, um auf Kundendaten zuzugreifen.
Reuters war nicht in der Lage zu überprüfen, ob jemand im Zusammenhang mit dem Einbruch verhaftet wurde. Die Ermittlungen dauern an. Die Strafverfolgungsbehörden kämpfen gegen die Zeit, um die Urheber des koordinierten Angriffs auf die Kundendaten von Coinbase in verschiedenen globalen Einrichtungen zu finden und zu verfolgen.
