Modifications de la plainte contre TaskUs
Des modifications apportées à une action collective à New York contre TaskUs ont ajouté de nouvelles allégations concernant des échecs systémiques en matière de sécurité et la dissimulation d’une violation des données des clients de Coinbase. La plainte modifiée, déposée mardi au Southern District of New York, enrichit les divulgations antérieures sur la manière dont les données des clients de Coinbase ont été traitées tout au long de la chronologie de cette violation massive, qui aurait débuté fin 2024 et s’est poursuivie jusqu’à la divulgation par Coinbase en mai, avec des pertes estimées pouvant atteindre 400 millions de dollars.
« Il s’agissait d’un schéma de corruption criminelle débutant à la fin de 2024, exploitant à la fois des fournisseurs externes et un petit nombre d’employés de Coinbase CX basés en dehors des États-Unis, permettant des escroqueries d’ingénierie sociale touchant moins de 1 % des utilisateurs effectuant des transactions mensuelles, » a déclaré un porte-parole de Coinbase à Decrypt.
La bourse de cryptomonnaies a affirmé avoir informé immédiatement les utilisateurs affectés et les régulateurs, et avoir remboursé les clients touchés tout en renforçant les contrôles sur les fournisseurs et les employés internes. Coinbase a depuis mis fin à sa relation avec TaskUs, refusant de « payer les criminels » et créant plutôt « une récompense de 20 millions de dollars pour des informations menant à des arrestations et des condamnations, » a confirmé le porte-parole à Decrypt.
Allégations de dissimulation et de complicité
TaskUs n’a pas immédiatement répondu aux demandes de commentaire de Decrypt. Les modifications apportées à la plainte décrivent un schéma coordonné au sein des opérations de TaskUs en Inde, où des employés auraient été soudoyés pour photographier des informations sensibles sur les comptes et les transmettre à des criminels. Les plaignants affirment que la conspiration s’est étendue au-delà du personnel de première ligne, poussant TaskUs à licencier environ 300 employés en janvier.
Les déclarations publiques de l’entreprise de sous-traitance auraient « dissimulé une campagne criminelle beaucoup plus large et coordonnée impliquant des dizaines, voire des centaines d’employés de TaskUs, » indique la plainte.
Le dépôt accuse également TaskUs d’avoir dissimulé l’ampleur de la violation. Selon les plaignants, l’entreprise « a pris des mesures pour faire taire ceux qui avaient connaissance de la violation » et a licencié son propre personnel des ressources humaines chargé d’enquêter sur la violation en février. Elle a ensuite continué à dire aux régulateurs qu’elle n’avait subi aucune violation matérielle, tout en poursuivant un rachat de 1,6 milliard de dollars par l’intermédiaire de Blackstone, avant que Coinbase ne reconnaisse l’incident en mai.
Un dépôt de Form 10-K de TaskUs en février n’a pas cité de facteurs liés à la violation de Coinbase, ce qui signifiait qu’elle prétendait effectivement qu’elle « n’était pas au courant d’une violation de données matérielle affectant l’entreprise, » avant que Coinbase ne reconnaisse l’incident en mai, selon la plainte modifiée.
Conséquences juridiques et réglementaires
La plainte modifiée développe également les allégations selon lesquelles TaskUs a ignoré la Section 5 de la FTC Act, présentant les manquements comme systémiques plutôt qu’isolés. Ces normes guident « ce que les entreprises devraient faire pour éviter des pratiques ‘injustes’ ou ‘trompeuses,' » a déclaré Andrew Rossow, avocat en affaires publiques et PDG d’AR Media Consulting, à Decrypt.
« Bien que toutes les directives ne soient pas légalement contraignantes, les ignorer peut montrer qu’une entreprise était négligente ou trompeuse. »
Les tribunaux et les régulateurs examineront si les données compromises étaient suffisamment sensibles pour exposer les personnes à un vol d’identité ou à une perte financière, a expliqué Rossow. Ils évalueront également si des mesures de protection telles que le cryptage ou l’authentification multi-facteurs ont été mises en œuvre, si les risques étaient prévisibles, si les promesses de sécurité étaient alignées avec la réalité, et si les consommateurs avaient des moyens de se protéger.
