Coinbase ligt onder vuur na een intern datalek waarbij externe klantenservicemedewerkers in India betrokken waren. Ze zouden tegen betaling gevoelige klantgegevens hebben doorgespeeld aan criminelen. De Amerikaanse autoriteiten zijn een strafrechtelijk onderzoek gestart.

Wat is er aan de hand?

Op 15 mei maakte Coinbase bekend dat een aantal ingehuurde medewerkers van een callcenter in India hun toegang tot interne systemen misbruikten. Ze verkochten klantdata door aan oplichters, die die informatie gebruikten om investeerders via social engineering-technieken te misleiden. Denk aan valse telefoontjes of e-mails die zó echt lijken dat mensen hun geld of gegevens afstaan.

Volgens Coinbase zijn er geen wachtwoorden, privésleutels of crypto’s buitgemaakt, maar de gevolgen zijn desondanks enorm. Slachtoffers verloren gezamenlijk naar schatting zo’n 400 miljoen dollar. Eén slachtoffer, een gepensioneerde kunstenaar, raakte zelfs 2 miljoen dollar kwijt.

Alsof dat nog niet genoeg was, probeerden de daders Coinbase ook nog af te persen. Ze eisten 20 miljoen dollar in ruil voor hun stilzwijgen over het lek. Coinbase weigerde.

Justitie grijpt in

De Amerikaanse overheid, met name het ministerie van Justitie (DOJ), doet nu onderzoek naar het datalek. Volgens juridisch directeur Paul Grewal werkt Coinbase volledig mee.

“We juichen het toe dat deze criminelen vervolgd worden,” aldus Grewal.

De betrokken medewerkers zijn inmiddels op staande voet ontslagen.

Boze klanten, rechtszaken volgen

Meerdere gebruikers hebben inmiddels een rechtszaak aangespannen tegen Coinbase. Ze stellen dat het platform hun data niet goed heeft beschermd. De zaak komt op een pijnlijk moment: de beurswaakhond SEC onderzoekt gelijktijdig het platform vanwege onduidelijkheid over het aantal ‘geverifieerde gebruikers’.

Wat kun je hiervan leren?

Deze zaak laat zien hoe kwetsbaar zelfs grote exchanges kunnen zijn — niet door een technische hack, maar door mensen aan de andere kant van de lijn. Vertrouw dus niet blind op de beveiliging van een platform. Zorg voor tweefactorauthenticatie, en overweeg je crypto (gedeeltelijk) op te slaan in een eigen wallet.