Keräsimme 8 hurjaa väitettä Coinbase-tietovuodon papereista

Coinbase-asiakkaiden tietomurtoon liittyvä TaskUs-yhtiö on saanut eteensä joukkokanteen. Oikeusasiakirjoissa esitetään hätkähdyttäviä väitteitä siitä, miten tapaus eteni.

Vähintään 70 000 ihmisen tiedot joutui rikollisten käsiin tietovuodon myötä. Tapausta on kuvailtu “yhdeksi suurimmista ja vahingollisimmista kryptovaluuttaturvallisuuteen liittyvistä tietomurroista tähän mennessä”.

Asianajajien mukaan kryptopörssi Coinbasea palvellut alihankkija TaskUs epäonnistui suojaamaan miljoonien ihmisten nimet, osoitteet, puhelinnumerot, sähköpostiosoitteet, pankkitiedot ja viralliset henkilöllisyystiedot – seurauksilla, joita kuvataan katastrofaalisiksi.

Coinbasen arvion mukaan sen asiakkaat ovat menettäneet jopa 400 miljoonaa dollaria rikollisille, jotka ovat osin jopa työskennelleet TaskUsin palveluksessa. Kantajien yhteenlaskettu kryptovaluuttatappio on useita miljoonia dollareita. Jotkut ovat menettäneet käytännössä koko eläkesäästönsä vastaajien huolimattomuuden ja väärinkäytösten seurauksena.

Oikeudenkäyntiasiakirjoissa korostetaan murron jatkuvaa tuhoisaa vaikutusta uhreihin – monet saavat päivittäin tekstiviestejä ja puheluja rikollisilta, jotka esiintyvät Coinbasen työntekijöinä. Toiset ovat joutuneet käyttämään suuria summia suojautuakseen. Jotkut ovat jopa palkanneet henkivartijoita.

Ärhäkkäimpien kritiikkien mukaan Coinbase-vuoto voi johtaa jopa ihmisten kuolemaan.

Kantajat pelkäävät joutuvansa fyysisten hyökkäysten kohteeksi rikollisten saadessa tiedon heidän kryptosijoituksistaan.

Tässä ovat kahdeksan vakavinta oikeusjutussa esitettyä väitettä.

1. “Yhteinen rikolliskampanja”

Vaikka TaskUs väittää vain kahden työntekijän olleen osallisena tietomurtoon, oikeusasiakirjojen mukaan kyseessä oli laajempi, koordinoitu rikollinen kampanja.

Oikeusasiakirjojen mukaan kymmeniä – ellei satoja – TaskUsin työntekijöitä osallistui murtokampanjaan, mukaan lukien esimiehiä. Väitetään, että jopa 300 työntekijää irtisanottiin, koska yritys ei kyennyt yksilöimään kaikkia osallisia. Kaikki kahden Intiassa sijaitsevan toimipisteen työntekijät menettivät työpaikkansa. Myös tapausta tutkineet HR-työntekijät irtisanottiin äkillisesti, asianajajien mukaan tarkoituksena vaientaa ne, joilla oli tietoa tietomurrosta.

2. “Uhrit eivät saaneet ilmoitusta”

Kantajat väittävät, että tietomurto havaittiin jo tammikuussa 2025 – neljä kuukautta ennen kuin se julkistettiin Coinbasen lausunnossa.

Tämän seurauksena uhreilla ei ollut mahdollisuutta suojautua ajoissa. Yksi uhri menetti huomattavan määrän kryptovaluuttaa, koska murrosta ei tiedotettu ajoissa.

3. “Murtaminen olisi voitu estää”

TaskUsia syytetään siitä, ettei se valvonut tietoverkkoa, jossa uhrien arkaluontoisia tietoja säilytettiin. Oikeusasiakirjoissa väitetään, että murto olisi voitu havaita aiemmin tai estää kokonaan, jos valvonta olisi ollut kunnossa.

Tiedot, joita TaskUs keräsi ja säilytti, ovat nyt rikollisten hallussa. Yrityksellä oli muodollisia tietoturvakäytäntöjä, mutta niitä ei valvottu eikä noudatettu tehokkaasti. Esimerkiksi TaskUs ei ottanut käyttöön näppäimistön painalluksia seuraavaa ohjelmistoa, jonka avulla olisi voitu havaita, kuka katsoi mitäkin tietoja.

Osa työntekijöistä latasi ja katseli suuria määriä arkaluontoista tietoa – tämä mahdollistui, koska suojatoimet puuttuivat tai niitä ei valvottu.

4. Kuinka varastettua Coinbase-tietoa voidaan käyttää väärin

Oikeudenkäyntiasiakirjat korostavat, kuinka vakavia seurauksia datan päätymisellä rikollisille voi olla. Uhrien kerrotaan olevan vakavassa ja välittömässä petosten, identiteettivarkauksien ja fyysisten uhkien vaarassa. Coinbasen mukaan jopa 400 miljoonaa dollaria on jo menetetty – ja luku voi kasvaa tulevina vuosina.

Rikolliset voivat käyttää tietoja muun muassa kryptovaluuttojen varastamiseen, uusien pankkitilien avaamiseen, lainojen ottamiseen uhrien nimissä, valtion tukien hakemiseen, veropetoksiin, ajokorttien hankkimiseen ja vääriin henkilötietoihin vetoamiseen poliisikuulusteluissa.

5. TaskUsin työntekijöiden palkat

Kantajien mukaan alhainen palkkataso Intiassa oli yksi syy rikollisten onnistumiseen. Keskimääräinen aloittelevan TaskUs-työntekijän vuosipalkka Intiassa on noin 4 000–6 000 dollaria, kun taas Yhdysvalloissa vastaava työ maksaa noin 43 000 dollaria vuodessa.

Työntekijät ottivat kännyköillään kuvia tietokoneidensa näytöistä ja luovuttivat tietoja rikollisille, vaikka yrityksen säännöt kielsivät puhelinten käytön työpisteissä. Yhden kuvan hinnaksi kerrotaan 200 dollaria – vain 20–30 kuvalla työntekijä saattoi tuplata vuositulonsa.

TaskUsin työntekijöiden uskotaan tienanneen yhteensä yli 500 000 dollaria rikollisten maksamista lahjuksista. Tämä vastaa yli 100 työntekijän vuosipalkkoja Intiassa.

6. Milloin Coinbase-salaliitto alkoi

Asiakirjoissa kerrotaan, että työntekijöiden rekrytointi rikollisiin tarkoituksiin alkoi jo syyskuussa 2024. Yksi ensimmäisistä oli TaskUsin työntekijä Ashita Mishra, joka suostui myymään Coinbasen käyttäjätietoja rikollisille.

Murto paljastui tammikuun 1. päivänä 2025, kun Mishran pöydältä löydettiin puhelin. Puhelimesta löytyi yli 10 000 Coinbase-asiakkaan tietoja. Joinain päivinä hän otti jopa 200 kuvaa – joka saattoi tarkoittaa jopa 40 000 dollarin tuloja päivässä.

Kuitenkin asianajajat painottavat, ettei hän toiminut yksin.

7. Hyökkäyksen käytännön vaikutus

Dokumentissa kerrotaan useista tapauksista, joissa Coinbase-asiakkaat joutuivat huijausten uhreiksi. Yksi uhri sai puhelun rikolliselta lokakuussa 2024 – seitsemän kuukautta ennen kuin murto julkistettiin. Soittaja käytti aiempia tapahtumatietoja ja yhteystietoja luottamuksen voittamiseksi. Lopulta uhri siirsi varoja uuteen lompakkoon, joka oli rikollisten hallussa.

Coinbase vakuutti aluksi, että kaikki vahingot korvataan.

8. Coinbase: lausunto oli “harhaanjohtava”

Oikeusasiakirjoissa Coinbasen julkilausuntoa kuvataan virheelliseksi ja harhaanjohtavaksi – sen mukaan tiedot paljastettiin vasta, kun yritystä uhattiin 20 miljoonan dollarin lunnailla. Coinbasen uskottiin tienneen tapahtuneesta jo tammikuussa, mutta se ilmoitti asiasta vasta toukokuussa.

Asianajajien mukaan rikos saattaa olla laajempi kuin Coinbase väittää. Yrityksen mukaan noin prosentti kuukausittain aktiivisista käyttäjistä oli kohteena, mutta asianajajien mukaan sosiaalisessa mediassa jaetuista kokemuksista päätellen todellinen määrä voi olla paljon suurempi.

TaskUsia vastaan on nostettu yhteensä yhdeksän syytettä. Kantajat vaativat korvauksia ja merkittäviä muutoksia yrityksen toimintatapoihin.