โดย เบน ไวส์ จาก Fortune

ในเดือนพฤษภาคม Coinbase เปิดเผยว่าแฮกเกอร์ได้ขโมยข้อมูลส่วนบุคคลของลูกค้าหลายพันคน และใช้ข้อมูลนั้นเพื่อหลอกล่อเหยื่อให้ส่งมอบสินทรัพย์คริปโตของพวกเขา Coinbase ระบุว่าเหตุการณ์นี้อาจส่งผลให้เกิดความสูญเสียสูงถึง 400 ล้านดอลลาร์สหรัฐฯ อย่างเป็นทางการ การแฮ็กนี้เกิดจากบุคคลภายในบริษัทเอาท์ซอร์สแห่งหนึ่งในอินเดีย แต่ตลาดแลกเปลี่ยนคริปโตที่ใหญ่ที่สุดของสหรัฐฯ ยังไม่ได้เปิดเผยรายชื่อบุคคลที่เกี่ยวข้อง เอกสารศาลฉบับใหม่เปิดเผยตัวตนของผู้ต้องสงสัยและบทบาทของเขาในเหตุการณ์นี้ ซึ่งเป็นการละเมิดความปลอดภัยที่ร้ายแรงที่สุดในประวัติศาสตร์ของ Coinbase

ตามคำฟ้องที่แก้ไขเพิ่มเติมซึ่งยื่นเมื่อวันอังคารโดยบริษัทกฎหมาย Greenbaum Olbrantz ซึ่งเป็นบริษัทกฎหมายที่ดำเนินคดีแบบกลุ่ม ระบุว่าการแฮ็กครั้งนี้มีความเชื่อมโยงกับ Ashita Mishra ซึ่งเป็นพนักงานของ TaskUs TaskUs เป็นบริษัทมหาชนในรัฐเท็กซัสที่ให้บริการสนับสนุนลูกค้าแบบเอาท์ซอร์สแก่บริษัทเทคโนโลยีขนาดใหญ่ และดำเนินงานในตลาดแรงงานที่มีต้นทุนต่ำ Mishra เคยทำงานที่ศูนย์บริการของ TaskUs ในเมืองอินดอร์ ประเทศอินเดีย

คดีฟ้องร้องกล่าวหาว่าตั้งแต่เดือนกันยายน 2567 มิชราเริ่มขโมยข้อมูลลูกค้าที่เป็นความลับ ซึ่งรวมถึงหมายเลขประกันสังคมและข้อมูลบัญชีธนาคาร เธอตกลงที่จะขายข้อมูลนี้ให้กับแฮกเกอร์ ซึ่งต่อมาได้ปลอมตัวเป็นพนักงานของ Coinbase และหลอกให้เหยื่อโอนสินทรัพย์ดิจิทัลของตน

ตั้งแต่เดือนกันยายน 2567 ถึงมกราคม 2568 มิชราและผู้สมรู้ร่วมคิดอีกรายหนึ่งได้ชักชวนพนักงาน TaskUs เข้ามามีส่วนร่วมในการขโมยข้อมูลลูกค้า ก่อให้เกิด "เครือข่ายสมคบคิดเชิงรัศมีที่ซับซ้อน" ซึ่งส่งข้อมูลลูกค้าของ Coinbase ไปยังอาชญากรผ่านคอมพิวเตอร์ของ TaskUs คำร้องเรียนดังกล่าวอ้างถึงอดีตพนักงาน TaskUs คนหนึ่งที่อ้างว่าแม้แต่หัวหน้าทีมและผู้จัดการฝ่ายปฏิบัติการก็มีส่วนเกี่ยวข้องด้วย

เมื่อ TaskUs ตระหนักถึงปัญหาในที่สุด โทรศัพท์ของมิชรามีข้อมูลลูกค้า Coinbase กว่า 10,000 คน คำร้องเรียนระบุว่ามิชราและผู้สมรู้ร่วมคิดได้รับเงิน 200 ดอลลาร์ต่อภาพ และบางครั้งเธอถ่ายภาพบัญชีลูกค้า Coinbase มากถึง 200 ภาพในหนึ่งวัน Coinbase เปิดเผยในเอกสารที่ยื่นต่อหน่วยงานกำกับดูแลว่าในท้ายที่สุดมีลูกค้ากว่า 69,000 รายที่ได้รับผลกระทบ

ตามที่นิตยสาร Fortune รายงานไว้ก่อนหน้านี้ ผู้วางแผนเบื้องหลังแผนการติดสินบนนี้ดูเหมือนจะเป็นคนหนุ่มสาวในช่วงวัยรุ่นหรือต้นวัยยี่สิบที่เป็นสมาชิกกลุ่มแฮ็กเกอร์หลวมๆ ที่เรียกว่า "Comm"

ข้อกล่าวหาที่ว่าการโจรกรรมข้อมูลเริ่มต้นในเดือนกันยายน 2024 ถือเป็นเรื่องสำคัญ เนื่องจากก่อนหน้านี้ Coinbase เคยกล่าวไว้ว่าการโจมตีเกิดขึ้นในช่วงปลายเดือนธันวาคม

ในการพัฒนาที่น่าสังเกตอีกประการหนึ่ง TaskUs อ้างในเดือนนี้ว่าไม่เพียงแต่ผู้ขายภายนอกเท่านั้น แต่ยังรวมถึงพนักงานภายในของ Coinbase อีกด้วยที่มีส่วนเกี่ยวข้องกับการแฮ็กครั้งนี้ แต่บริษัทไม่ได้ให้รายละเอียดเพิ่มเติม

หลังจากเหตุการณ์ถูกเปิดเผย โฆษกของ Coinbase บอกกับ Fortune ว่า "เราได้แจ้งผู้ใช้และหน่วยงานกำกับดูแลที่ได้รับผลกระทบทันที ชดเชยเงินให้กับลูกค้าที่ได้รับผลกระทบ เพิ่มความเข้มงวดในการควบคุมซัพพลายเออร์และบุคลากรภายใน และยุติความร่วมมือกับ TaskUs เราปฏิเสธที่จะจ่ายค่าไถ่ และตั้งรางวัล 20 ล้านดอลลาร์สหรัฐฯ แทนสำหรับข้อมูลที่นำไปสู่การจับกุมและตัดสินลงโทษผู้ต้องสงสัย"

TaskUs ไม่ได้ตอบกลับคำขอแสดงความคิดเห็นเกี่ยวกับข้อร้องเรียนที่แก้ไขแล้วในทันที Fortune ไม่สามารถติดต่อ Ashita Mishra ได้ทันที

ก่อนหน้านี้ TaskUs บอกกับ Fortune ว่า "บริษัทถือว่าความปลอดภัยของลูกค้าและข้อมูลผู้ใช้เป็นสิ่งสำคัญที่สุด และยังคงเสริมสร้างโปรโตคอลความปลอดภัยระดับโลกและโปรแกรมการฝึกอบรมอย่างต่อเนื่อง"

การปกปิดแบบต่อเนื่อง

เรื่องราวที่เล่าในคำร้องเรียนถือเป็นรายละเอียดที่ละเอียดที่สุดของการแฮ็กสกุลเงินดิจิทัลครั้งใหญ่ที่สุดครั้งหนึ่งของปีนี้ และยังเป็นการละเมิดข้อมูลครั้งร้ายแรงที่สุดในประวัติศาสตร์ยาวนานกว่าทศวรรษของ Coinbase อีกด้วย

ทนายความของโจทก์รายอื่นเคยฟ้องร้อง Coinbase เกี่ยวกับการแฮ็กมาแล้ว และ Coinbase ก็กำลังผลักดันให้มีการยื่นฟ้องคดีเหล่านี้เข้าสู่กระบวนการอนุญาโตตุลาการ ในอดีต กระบวนการอนุญาโตตุลาการช่วยให้ธุรกิจต่างๆ บรรเทาความสูญเสียทางการเงินและภาพลักษณ์เชิงลบ ซึ่งอาจอธิบายได้ว่าทำไมบริษัทที่ดำเนินคดีแบบกลุ่มจึงเลือกที่จะฟ้องร้อง TaskUs ซึ่งเป็นผู้ให้บริการเอาท์ซอร์ส แทนที่จะฟ้องร้อง Coinbase โดยตรง

ทนายความของโจทก์รายอื่นเคยฟ้องร้อง Coinbase เกี่ยวกับการแฮ็กมาแล้ว และ Coinbase ก็กำลังผลักดันให้มีการยื่นฟ้องคดีเหล่านี้เข้าสู่กระบวนการอนุญาโตตุลาการ ในอดีต กระบวนการอนุญาโตตุลาการช่วยให้ธุรกิจต่างๆ บรรเทาความสูญเสียทางการเงินและภาพลักษณ์เชิงลบ ซึ่งอาจอธิบายได้ว่าทำไมบริษัทที่ดำเนินคดีแบบกลุ่มจึงเลือกที่จะฟ้องร้อง TaskUs ซึ่งเป็นผู้ให้บริการเอาท์ซอร์ส แทนที่จะฟ้องร้อง Coinbase โดยตรง

ในคดีความ บริษัทกฎหมายกล่าวหา TaskUs ว่า "ดำเนินการเพื่อปิดปากผู้ที่รู้เห็นการสมรู้ร่วมคิด" ดังที่นิตยสารฟอร์จูนเคยรายงานไว้ก่อนหน้านี้ TaskUs เลิกจ้างพนักงาน 226 คนในอินดอร์เมื่อเดือนมกราคม คดีความดังกล่าวอ้างอดีตพนักงานคนหนึ่ง อ้างว่าบริษัทดำเนินการขั้นเด็ดขาดนี้เพราะกลุ่มสมรู้ร่วมคิด "แทรกซึมเข้าไปในระบบของ TaskUs อย่างละเอียดถี่ถ้วนจนบริษัทไม่สามารถระบุตัวผู้ที่เกี่ยวข้องทั้งหมดได้"

นอกจากนี้ ในวันที่ 10 กุมภาพันธ์ TaskUs ได้ตัดสินใจไล่ทีมทรัพยากรบุคคลซึ่งเดิมเป็นผู้รับผิดชอบในการสืบสวนการละเมิดดังกล่าว โดยคำฟ้องกล่าวหาว่าการเคลื่อนไหวดังกล่าวเป็นส่วนหนึ่งของ "การปกปิดที่ร้ายแรง"

คำฟ้องใหม่ของ Greenbaum Olbrantz เป็นการแก้ไขคำฟ้องเดิมที่ยื่นในเดือนพฤษภาคม ประมาณสองสัปดาห์หลังจากที่ Coinbase เปิดเผยการแฮ็ก ก่อนหน้านี้ Coinbase เคยยื่นฟ้องคดีสำคัญหลายคดี รวมถึงคดีหนึ่งที่กล่าวหาว่าสายการบินขาย "ที่นั่งติดหน้าต่าง" แต่กลับให้ผู้โดยสารนั่งชิดผนังที่ไม่มีหน้าต่าง

Coinbase กำลังพยายามรวมคดีนี้ไว้ในคดีฟ้องร้องรวมที่ฟ้องร้องคดีที่เกี่ยวข้องกับการแฮ็กทั้งหมดต่อการแลกเปลี่ยน ในขณะที่ TaskUs ได้ยื่นคำร้องเพื่อยกฟ้องคดีและระงับการรวมคดีนี้ไว้ในคดีฟ้องร้องรวมที่กว้างกว่า

“ข้อร้องเรียนที่แก้ไขของเรานั้นได้ให้ความกระจ่างที่ไม่เคยมีมาก่อนว่าการละเมิดข้อมูลครั้งนี้เกิดขึ้นได้อย่างไร และเราจะทำงานอย่างขยันขันแข็งต่อไปเพื่อให้ทุกฝ่ายที่รับผิดชอบต้องรับผิดชอบ” คาร์เตอร์ กรีนบอม ผู้ร่วมก่อตั้งบริษัทกรีนบอม โอลบรันต์ซ กล่าวในแถลงการณ์