Muokatut asiakirjat New Yorkissa
Muokatut asiakirjat New Yorkissa TaskUsia vastaan nostetussa ryhmäkanteessa ovat lisänneet uusia väitteitä järjestelmällisistä turvallisuuspuutteista ja tietomurron salaamisesta, joka liittyy Coinbase-asiakastietoihin. Muokattu kanne, joka jätettiin tiistaina New Yorkin eteläiseen piiriin, tuo esiin keskeisiä elementtejä aikaisemmista paljastuksista siitä, miten Coinbase-asiakastietoja käsiteltiin valtavan tietomurron aikana, sen alkuvaiheista myöhään vuonna 2024 Coinbase:n lopulliseen ilmoitukseen toukokuussa, jonka arvioidut tappiot nousevat jopa 400 miljoonaan dollariin.
”Tämä oli rikollinen lahjontasuunnitelma, joka alkoi myöhään vuonna 2024 ja hyödyntäsi sekä ulkoisia toimittajia että pientä määrää Coinbase CX -henkilöstöä Yhdysvaltojen ulkopuolella, mahdollistaen sosiaalisen manipuloinnin huijauksia alle 1 %:lle kuukausittaisista käyttäjistä,” Coinbase:n edustaja kertoi Decryptille.
Kryptovaluuttapörssi ilmoitti, että se tiedotti asiasta heti vaikuttaville käyttäjille ja sääntelyviranomaisille, ja korvasi asiakkaille samalla kun se tiukensi toimittaja- ja sisäisiä valvontakäytäntöjä. Coinbase on sittemmin päättänyt suhteensa TaskUsiin, kieltäytyen ”maksamasta rikollisille” ja luoden 20 miljoonan dollarin palkkion tiedoista, jotka johtavat pidätyksiin ja tuomioihin,” edustaja vahvisti Decryptille. TaskUs ei heti vastannut Decryptin kommenttipyyntöihin.
Kanteen keskeiset muutokset
Kanteen keskeiset muutokset kuvaavat koordinoitua suunnitelmaa TaskUsin Intian toiminnoissa, joissa työntekijöitä väitetään lahjotun ottamaan valokuvia arkaluontoisista tilitiedoista ja välittämään niitä rikollisille. Kantajat sanovat, että salaliitto levisi etulinjan työntekijöiden ulkopuolelle, mikä johti TaskUsin irtisanomaan noin 300 työntekijää tammikuussa. Ulkoistamisyrityksen julkiset lausunnot väitetään ”peittävän laajempaa ja koordinoitua rikollista kampanjaa, johon osallistui kymmeniä, ellei satoja TaskUsin työntekijöitä,” kanne toteaa.
Kanteessa syytetään myös TaskUsia tietomurron laajuuden salaamisesta. Kantajien mukaan yritys ”otti askeleita vaimentaakseen tietomurrosta tietäviä” ja irtisanoi omat henkilöstöhallintohenkilönsä, jotka olivat vastuussa tietomurron tutkimisesta helmikuussa. Se jatkoi myöhemmin sääntelyviranomaisille kertomista, että se ei ollut kärsinyt merkittävästä tietomurrosta, ja eteni 1,6 miljardin dollarin ostotarjouksessa Blackstonen kautta ennen kuin Coinbase tunnusti tapahtuman toukokuussa.
TaskUsin helmikuussa jättämä Form 10-K -ilmoitus ei maininnut mitään tekijöitä, jotka liittyivät Coinbase-tietomurtoon, mikä tarkoitti, että se käytännössä väitti ”ettei ollut tietoinen mistään merkittävästä tietomurrosta, joka vaikuttaisi yritykseen,” ennen kuin Coinbase tunnusti tapahtuman toukokuussa, muokattu kanne väitti.
FTC Actin laiminlyönti
Muokattu kanne laajentaa myös väitteitä siitä, että TaskUs jätti huomiotta FTC Actin 5. osaston, kehystämällä laiminlyönnit järjestelmällisiksi eikä eristyksissä oleviksi. Nämä standardit ohjaavat ”mitä yritysten tulisi tehdä välttääkseen ’epäreiluja’ tai ’harhaanjohtavia’ käytäntöjä,” Andrew Rossow, julkisten asioiden asianajaja ja AR Media Consultingin toimitusjohtaja, kertoi Decryptille.
”Vaikka kaikki ohjeet eivät ole lainvoimaisia, niiden huomioimatta jättäminen voi osoittaa, että yritys oli huolimaton tai harhaanjohtava.” Tuomioistuimet ja sääntelyviranomaiset punnitsevat, oliko vaarantunut tieto tarpeeksi arkaluontoista altistaakseen ihmiset identiteettivarkaudelle tai taloudelliselle menetykselle, Rossow selitti. He tutkivat myös, käytettiinkö suojatoimia, kuten salausta tai monivaiheista todennusta, olivatko riskit ennakoitavissa, vastaavatko turvallisuuslupaukset todellisuutta ja oliko kuluttajilla keinoja suojautua.
