Coinbase, son dönemlerde adı sıkça gündeme gelen 400 milyon dolarlık potansiyel müşteri veri ihlaliyle yeniden manşetlere taşındı. Reuters’ın 2 Haziran 2025 tarihli haberine göre, olayın merkezinde yer alan dış kaynak şirketi TaskUs’ın Hindistan’daki bir çalışanının yasa dışı veri erişimiyle bağlantılı olduğu belirtiliyor. Ancak haberde dikkat geçen asıl detay skandalın izlerinin aslında aylar öncesine, Ocak 2025’e kadar uzanıyor olması.
Reuters‘a konuşan ve olaya doğrudan tanıklık eden altı kaynak, Coinbase’in ihlali kamuoyuyla paylaşmasından çok önce, Ocak ayında durumdan haberdar olduğunu ileri sürdü. Beş eski TaskUs çalışanına göre, Hindistan’ın Indore kentinde görevli bir çalışanın iş bilgisayar ekranının fotoğrafını kişisel cep telefonuyla çektiği sırada yakalanması, olayın ilk kıvılcımını oluşturdu. Çalışanla birlikte hareket ettiği öne sürülen bir diğer kişinin ise Coinbase müşteri bilgilerini rüşvet karşılığında siber suçlulara aktardığı iddia ediliyor.
Yaşanan gelişmelerin ardından 200’ün üzerinde TaskUs çalışanının işten çıkarıldığı bildirildi. Hindistan medyasında dikkat çeken bu toplu işten çıkarma, veri sızıntısının boyutuna ve etkilediği çevrelere dair önemli ipuçları sunuyor.
Coinbase, olayla ilgili olarak Mayıs ayında ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yaptığı başvuruda, bazı yüklenici personelin “önceki aylarda” iş gereği olmadan kullanıcı bilgilerine eriştiğini tespit ettiklerini belirtmişti. Ancak şirket, bu yetkisiz erişimin kapsamının, ancak 11 Mayıs tarihinde gelen bir şantaj mesajıyla birlikte daha büyük ve organize bir saldırının parçası olduğunu fark ettiğini açıkladı.
Coinbase, Reuters’a yaptığı açıklamada söz konusu veri ihlalinin “yakın zamanda” tespit edildiğini savunurken, TaskUs ile olan iş ilişkilerini ve diğer yurt dışı destek sağlayıcılarıyla bağlarını kesmeye başladığını duyurdu. Şirket ayrıca iç kontrollerini sıkılaştırma sürecine girdiğini bildirdi. Ancak kamuoyuna açıklanan bu önlemler, olayın ne zaman ve nasıl öğrenildiğine dair tartışmaları sona erdirmedi.
TaskUs ise konuyla ilgili yaptığı ayrı bir açıklamada, iki çalışanın bu yılın başlarında bir müşteriye ait verilere yasadışı şekilde eriştiği tespit edildikten sonra işten çıkarıldığını belirtti. Şirket, ihlalin yalnızca kendileriyle sınırlı kalmadığını, aynı müşteriye hizmet sağlayan başka taşeronları da hedef alan daha büyük çaplı bir suç organizasyonunun parçası olduğuna inandıklarını ifade etti.
Reuters, olayla ilgili olarak şu ana kadar herhangi bir tutuklama yapılıp yapılmadığını doğrulayamazken, Indore’daki emniyet yetkililerinden henüz bir açıklama alınamadı.
