数据泄露事件概述 - 数据泄露事件于2025年1月首次被发现 但延迟四个月至2025年5月才公开披露[1][6] - 至少70,000名用户受到直接影响 被描述为"迄今为止涉及加密货币的最大且最具破坏性的安全漏洞之一"[5] - 客户敏感信息包括姓名、地址、电话号码、邮箱、银行账户详情和政府身份证件均遭泄露[4] 事件涉及方与责任认定 - 外包公司TaskUs被指控未能有效监控存储敏感信息的计算机网络[7] - 公司声称仅两名员工参与 但法律文件指控实际涉及"数十甚至数百名员工"并延伸至管理层[2] - 安全政策"大部分未执行且完全不足" 包括未安装关键日志记录软件来监控员工活动[7][8] 财务影响规模 - Coinbase估计客户损失高达4亿美元[4][9] - 集体诉讼中原告损失"数百万美元加密货币资产" 部分用户"几乎失去全部退休储蓄"[4] - 犯罪分子向TaskUs员工支付每张图片200美元的贿赂 员工潜在获利达50万美元或更多[13] 员工参与与内部管理 - 约300名员工被终止雇佣 印度两个站点的全部员工遭解雇[2] - 印度初级员工年薪约4,000-6,000美元 仅为美国同岗位43,000美元年薪的十分之一[12] - 员工Ashita Mishra单日拍摄200张数据图片 潜在单日获利达40,000美元[15] 事件时间线与操作细节 - 犯罪活动最早可追溯至2024年9月 员工Ashita Mishra当时已加入阴谋[14] - 犯罪分子通过冒充Coinbase员工实施诈骗 在2024年10月就有攻击记录[16][17] - 数据窃取方式包括使用手机拍摄计算机屏幕数据 违反公司设备管控政策[12] 客户后果与长期风险 - 受害者遭受"每日短信和电话轰炸" 部分需雇佣保镖保护人身安全[3] - 面临欺诈、身份盗窃和物理攻击的"当前及迫在眉睫的风险"[9][10] - 数据滥用范围包括：盗取加密货币、冒名开设金融账户、申请贷款、骗取政府福利及伪造税务申报[10] 公司回应与披露问题 - Coinbase最初声明称受影响用户将获得全额补偿[17] - 法律文件指控公司声明存在"缺陷或误导性" 且可能在收到2,000万美元勒索威胁后才选择披露[18] - 实际受影响用户数量可能远超公司最初预估的1%月活用户[19] 法律诉讼与指控 - TaskUs面临九项指控 原告要求赔偿并改革公司基础设施[20] - 诉讼指控公司未能及时披露漏洞 导致用户无法采取必要防护措施[6][19] - 人力资源调查人员遭"突然终止" 被怀疑是为"封口知晓漏洞者"[2]