Photo: Diego Thomazini/Shutterstock
Selon Reuters, la plateforme d’échange de cryptomonnaies Coinbase était déjà au courant, dès janvier, d’une importante fuite de données.
Ce n’est pourtant que plusieurs mois plus tard que l’entreprise a rendu l’affaire publique. La fuite aurait été causée par un prestataire basé en Inde, qui aurait potentiellement transmis des données clients à des hackers de manière délibérée. Ce n’est qu’en mai que Coinbase a révélé l’incident, via une publication de son PDG Brian Armstrong sur le réseau social X.
Fuite de données client via un prestataire externe
Les informations ont été compromises lorsqu’un employé de TaskUs, une société américaine d’externalisation qui gère notamment le service client de Coinbase, a pris des photos de données client avec son téléphone personnel.
Cinq anciens employés de TaskUs ont affirmé que Coinbase avait été informée immédiatement. Pourtant, la plateforme n’a communiqué publiquement qu’après plusieurs mois, par le biais d’un rapport obligatoire destiné aux régulateurs.
Revente des données
Au final, près de 70 000 clients ont été affectés par cette fuite. Les deux principaux suspects auraient revendu les données aux hackers contre rémunération. À la suite de l’incident, Coinbase a mis fin à sa collaboration avec les employés concernés de TaskUs ainsi qu’avec d’autres équipes de support externe. L’entreprise a aussi renforcé ses protocoles de contrôle interne.
L’affaire avait déjà entraîné en janvier une vague de licenciements dans les bureaux de TaskUs à Indore, en Inde : plus de 200 employés ont perdu leur emploi, déclenchant des manifestations publiques. TaskUs a depuis confirmé l’implication de deux personnes dans la fuite et affirme qu’elles faisaient probablement partie d’une campagne criminelle plus vaste ciblant Coinbase. Un porte-parole de l’entreprise a déclaré :
« Nous avons immédiatement licencié les personnes impliquées, informé notre client, et coopérons avec les autorités. »
Coinbase refuse de payer la rançon
Coinbase a finalement décidé de rendre l’affaire publique en mai, après que les hackers ont exigé une rançon de 20 millions de dollars, menaçant de divulguer davantage de données volées. L’entreprise a refusé de payer et a rendu l’incident public. Depuis, plusieurs actions en justice ont été intentées contre Coinbase. L’une des plaintes dénonce une protection insuffisante des données personnelles des clients.
La fuite de données ne représente pas seulement un problème d’image et de sécurité : elle s’accompagne aussi de pertes financières considérables. Coinbase aurait perdu environ 180 millions de dollars directement à cause de l’incident, en plus de devoir consacrer 400 millions de dollars à des remboursements et mesures correctives. Le coût total des dommages dépasse ainsi les 500 millions de dollars.
Antécédents chez TaskUs
Ce n’est d’ailleurs pas la première fois que TaskUs est lié à une fuite de données dans le secteur crypto. En 2022, la société avait déjà été poursuivie aux côtés de Shopify après une fuite concernant le fabricant de portefeuilles matériels Ledger. Là encore, les entreprises avaient attendu plusieurs semaines avant d’en informer leurs clients, ce qui avait conduit à de nombreux cas de phishing et d’escroqueries.
