Novos documentos judiciais revelam que uma analista de compliance da empresa de terceirização TaskUs lucrou aproximadamente US$ 2 milhões com a venda ilegal de dados de clientes da Coinbase, no que se tornou o maior vazamento da história da corretora.
A funcionária Ashita Mishra integrava a equipe responsável por funções de prevenção a lavagem de dinheiro (AML) e “conheça seu cliente” (KYC) na Índia. No entanto, ela também operava como peça central de um esquema criminoso que vendia informações confidenciais para hackers.
O caso veio a público apenas em maio, quando a Coinbase divulgou que dados de cerca de 69 mil clientes foram roubados, em um dos maiores casos de vazamento de dados do universo cripto. Na ocasião, a corretora estimou o prejuízo total em cerca de US$ 400 milhões devido ao ataque. O valor incluía indenizações a clientes, multas regulatórias e custos operacionais para reparar os sistemas.
Entretanto, até o momento, não se sabia ao certo como ocorreram os vazamentos. A divulgação de documentos de um processo movido contra a TaskUs trouxe mais detalhes do caso à tona.
De acordo com as alegações do processo, Mishra iniciou suas atividades ilegais em setembro de 2024. Sua atuação consistia em captura e vender screenshots de dados sensíveis – como números de Seguro Social e contas bancárias – por US$ 200 cada.
Confira nossas sugestões de Pre-Sales para investir agora
Esse detalhe contradiz a versão inicial divulgada pela Coinbase, que afirmou que o incidente ocorrera apenas em dezembro do mesmo ano. O celular da analista, apreendido durante as investigações, continha informações de mais de 10 mil clientes. Em dias de alta atividade, ela chegava a registrar 200 imagens, o que gerava um lucro diário de até US$ 40 mil.
Clientes da Coinbase têm dados vazados
Em resposta ao crime, a Coinbase adotou medidas contundentes. Primeiro, tratou de romper imediatamente o contrato com a TaskUs. Além disso, se recusou a pagar qualquer resgate ou valor exigido pelos criminosos. Em vez disso, a corretora investiu US$ 20 milhões em uma recompensa por informações que levassem à identificação e condenação dos envolvidos. Ademais, reembolsou integralmente os clientes impactados e reforçar seus protocolos de segurança.
Além de Mishra, o esquema envolvia outros funcionários da TaskUs, incluindo líderes de equipe e gerentes operacionais, configurando uma “conspiração sofisticada em formato de hub-and-spoke”. A empresa de outsourcing demitiu 226 funcionários em sua unidade de Indore, na Índia, e também dispensou a equipe de recursos humanos encarregada de investigar o caso, em what o processo descreve como um “padrão de ocultação”.
A TaskUs, por sua vez, afirmou priorizar a segurança de dados e reforçar seus protocolos globais. O caso segue em litígio nos Estados Unidos, com vítimas e investidores buscando compensação pelos prejuízos financeiros e pela violação de sua privacidade.