L’exchange rivela l’entità della violazione avvenuta lo scorso dicembre mentre le autorità federali indagano sulla fuga di dati.
Coinbase ha rivelato che i dati personali di 69.461 utenti sono stati compromessi durante la violazione avvenuta a dicembre 2024, secondo quanto emerge da una documentazione presentata all’Ufficio del Maine Attorney General.
La notizia arriva dopo che Coinbase aveva comunicato la scorsa settimana che un gruppo di hacker aveva richiesto un riscatto di $20 milioni, minacciando di pubblicare i dati rubati sul dark web. Gli attaccanti hanno corrotto agenti del servizio clienti basati all’estero in modo tale da estrarre informazioni dai sistemi dell’azienda.
Coinbase aveva precedentemente dichiarato che la violazione aveva colpito meno dell’1% della sua base utenti, compromettendo dati KYC (Know Your Customer) come nomi, indirizzi ed email. Nella documentazione presentata alla Securities and Exchange Commission statunitense, l’azienda ha precisato che password, chiavi private e fondi degli utenti non sono stati compromessi.
In seguito alle segnalazioni, la Sec avrebbe avviato un’indagine ufficiale per verificare se Coinbase abbia gonfiato le metriche relative agli utenti prima della sua IPO del 2021. Separatamente, il Dipartimento di Giustizia sta indagando sulla violazione, su richiesta di Coinbase stessa, secondo quanto affermato dal Ceo Brian Armstrong.
Nel frattempo, Coinbase è stata criticata per la sua risposta tardiva alla violazione dei dati. Michael Arrington, fondatore di TechCrunch, ha dichiarato che i dati rubati potrebbero causare danni irreparabili. In un post su X, Arrington ha affermato:
“Il costo umano, misurato in sofferenza, è molto più grande dei circa $400 milioni che pensano costerà effettivamente all’azienda rimborsare le persone. Le conseguenze per le aziende che non proteggono adeguatamente le informazioni dei propri clienti dovrebbero includere, senza eccezioni, pene detentive per i dirigenti”.
Coinbase stima che la questione potrebbe costare tra i $180 milioni e i $400 milioni in spese di riparazione e rimborsi ai clienti.
Arrington ha anche condannato le leggi KYC come inefficaci e pericolose, invitando sia i regolatori che le aziende a proteggere meglio i dati degli utenti:
“Combinare queste leggi KYC con la massimizzazione del profitto aziendale e leggi blande sulle sanzioni per attacchi come questi significa che questi problemi continueranno a verificarsi. Sia i governi che le aziende devono intensificare gli sforzi per fermare tutto ciò. Come ho detto, il costo può essere misurato solo in sofferenza umana”.
