米司法省(DOJ)は現在、コインベースがインドに委託していたカスタマーサービス担当者による不正行為について捜査を進めている。これらの業者は、犯罪者にユーザーデータへのアクセスを許可する見返りに賄賂を受け取っていたとされる。
5月19日付のブルームバーグの報道によれば、司法省はこのデータ漏洩事件について調査を開始しており、コインベースは5月15日にこの件を公表していた。同社によると、委託先のカスタマーサポート業者の一部が「システムへのアクセス権を乱用し、ごく一部の顧客のアカウントデータを盗み出した」という。この業者らはすでに解雇されている。
ブルームバーグによると、コインベースのチーフリーガルオフィサー、ポール・グレワル氏は「当社は司法省およびその他の米国・国際的な法執行機関に通報し、現在も連携している。これらの不正行為者に対して刑事責任を追及する法執行機関の動きを歓迎する」と述べた。
コインベースによれば「パスワード、秘密鍵、資金はいずれも流出していない」とされているものの、このデータ漏洩によりソーシャルエンジニアリング攻撃が仕掛けられ、セコイアキャピタルのパートナーを含む複数のユーザーが標的となった。被害額は最大で4億ドルと推定されている。また攻撃者は、漏洩情報の公開を控える見返りとしてコインベースに2,000万ドルの支払いを要求したが、同社はこれを拒否した。
訴訟による反発
こうしたソーシャルエンジニアリング攻撃の試みにより、複数のユーザーがコインベースを相手取って訴訟を起こしている。訴訟では、同社が個人情報を適切に管理していなかったと主張されている。被害者の1人である退職後のアーティスト、エド・スーマン氏は、詐欺により200万ドルを失ったと報告している。
このデータ漏洩と、同時期に浮上した米証券取引委員会(SEC)による「認証済みユーザー数」に関する別件の調査を受け、コインベースの株価は乱高下した。
コインテレグラフはコメントを求めてコインベースに問い合わせたが、記事公開時点では回答を得られていない。