Um funcionário da TaskUs, empresa terceirizada com sede na Índia, teria vazado dados de usuários da Coinbase para hackers, o que levou a demissões em massa e preocupações com segurança.

A Coinbase está sob intenso escrutínio após revelações de que pode ter tido conhecimento, já em janeiro de 2025, de uma violação massiva envolvendo agentes terceirizados de suporte ao cliente — meses antes da exchange de criptomoedas reconhecer publicamente a falha de segurança.

Fontes familiarizadas com o caso informaram que a violação teve origem em uma funcionária baseada na Índia, empregada pela TaskUs, uma empresa de terceirização dos EUA contratada há anos pela Coinbase.

A funcionária foi supostamente flagrada fotografando seu posto de trabalho secretamente e, junto com uma cúmplice, teria repassado informações sensíveis de clientes a criminosos cibernéticos em troca de propina. O incidente resultou na demissão de mais de 200 funcionários da TaskUs na cidade de Indore, no que agora parece ser uma infiltração criminosa coordenada na infraestrutura de suporte da Coinbase.

Divulgação tardia da violação

Embora a Coinbase tenha posteriormente associado uma perda de US$ 400 milhões a “agentes de suporte no exterior”, a empresa só reconheceu a gravidade do incidente em um relatório à SEC em maio, motivado por uma demanda de resgate.

A violação não se limitou a uma única pessoa. Segundo relatos internos, foi parte de uma campanha mais ampla que também visava outras empresas de terceirização que prestavam serviços à Coinbase.

Os dados comprometidos, que afetaram mais de 69.000 clientes, supostamente não foram suficientes para acessar carteiras internas da Coinbase, mas permitiram que golpistas se passassem por agentes da empresa e enganassem clientes para que entregassem seus criptoativos.

Embora a Coinbase afirme ter reembolsado os usuários afetados, persistem dúvidas quanto ao prazo e à transparência da empresa.

TaskUs é acusada de negligência

Uma ação coletiva agora acusa a TaskUs de negligência, alegando que a empresa de terceirização não adotou salvaguardas adequadas de dados. A TaskUs, por sua vez, negou as acusações.

Apesar de alegar contar com treinamento rigoroso e protocolos de segurança, o incidente levanta preocupações mais amplas sobre as vulnerabilidades associadas à terceirização de interações sensíveis com clientes para trabalhadores offshore de baixa remuneração. Esses trabalhadores, embora mais econômicos, muitas vezes são mal pagos e mal treinados, o que pode torná-los mais suscetíveis à coerção externa.

A Coinbase insiste que agiu de forma decisiva ao descobrir a fraude, encerrando vínculos com os agentes envolvidos e reformulando suas medidas de segurança. Mesmo assim, a linha do tempo do caso sugere possíveis falhas na detecção de ameaças internas e na governança de riscos, especialmente considerando que documentos da própria Coinbase indicam acessos não autorizados ocorrendo “meses antes”.

• Veja também: Ethereum: Alta nas entradas de capital e mudanças na Fundação marcam nova fase

O autor: Marcelo Roncate

Redator desde 2019. Entusiasta de tecnologia e criptomoedas.