Modifiche alla Class Action contro TaskUs
Le modifiche a una class action a New York contro TaskUs hanno aggiunto nuove accuse di fallimenti sistemici nella sicurezza e di occultamento in una violazione legata ai dati dei clienti di Coinbase. Il reclamo modificato, presentato martedì presso il Southern District of New York, integra elementi chiave alle precedenti rivelazioni su come i dati dei clienti di Coinbase siano stati gestiti durante la massiccia violazione, che si è verificata tra la fine del 2024 e la successiva divulgazione da parte di Coinbase a maggio, con perdite stimate fino a 400 milioni di dollari.
Dettagli della Violazione
“Questo era uno schema di corruzione criminale iniziato alla fine del 2024, che ha sfruttato sia fornitori esterni che un numero ristretto di dipendenti di Coinbase CX al di fuori degli Stati Uniti, consentendo truffe di ingegneria sociale contro meno dell’1% degli utenti che effettuano transazioni mensili,” ha dichiarato un portavoce di Coinbase a Decrypt.
L’exchange di criptovalute ha affermato di aver notificato immediatamente gli utenti e i regolatori interessati, e di aver rimborsato i clienti colpiti, mentre rafforzava i controlli su fornitori e insider. Coinbase ha successivamente interrotto la sua relazione con TaskUs, rifiutandosi di “pagare i criminali” e creando invece “una ricompensa di 20 milioni di dollari per informazioni che portano a arresti e condanne,” ha confermato il portavoce a Decrypt.
Accuse Contro TaskUs
TaskUs non ha immediatamente risposto alle richieste di commento di Decrypt. Le modifiche al reclamo descrivono uno schema coordinato all’interno delle operazioni di TaskUs in India, dove i dipendenti sarebbero stati corrotti per fotografare informazioni sensibili sugli account e passarle ai criminali. I querelanti affermano che la cospirazione si sia diffusa oltre il personale di prima linea, portando TaskUs a licenziare circa 300 dipendenti a gennaio.
“Le dichiarazioni pubbliche della società di outsourcing avrebbero smentito una campagna criminale molto più ampia e coordinata che ha coinvolto dozzine, se non centinaia di dipendenti di TaskUs,” si legge nel reclamo.
Il deposito accusa anche TaskUs di aver nascosto l’entità della violazione. Secondo i querelanti, l’azienda “ha preso misure per silenziare coloro che avevano conoscenza della violazione” e ha licenziato il proprio personale delle risorse umane incaricato di indagare sulla violazione a febbraio. In seguito ha continuato a dire ai regolatori di non aver subito alcuna violazione materiale e ha proceduto con un’acquisizione da 1,6 miliardi di dollari tramite Blackstone prima che Coinbase riconoscesse l’incidente a maggio.
Implicazioni Legali
Un deposito del modulo 10-K di TaskUs a febbraio non ha citato alcun fattore relativo alla violazione di Coinbase, il che significava che stava effettivamente affermando di “non essere a conoscenza di alcuna violazione di dati materiale che impattasse l’azienda,” prima che Coinbase riconoscesse l’incidente a maggio, ha sostenuto il reclamo modificato.
Il reclamo modificato espande anche le accuse secondo cui TaskUs ha ignorato la Sezione 5 dell’FTC Act, inquadrando le omissioni come sistemiche piuttosto che isolate. Quegli standard guidano “cosa dovrebbero fare le aziende per evitare pratiche ‘sleali’ o ‘ingannevoli,'” ha dichiarato Andrew Rossow, avvocato per gli affari pubblici e CEO di AR Media Consulting, a Decrypt.
“Sebbene non tutte le linee guida siano legalmente vincolanti, ignorarle può dimostrare che un’azienda è stata negligente o ingannevole.”
I tribunali e i regolatori stanno valutando se i dati compromessi fossero abbastanza sensibili da esporre le persone a furti d’identità o perdite finanziarie, ha spiegato Rossow. Esamineranno anche se sono state impiegate misure di sicurezza come la crittografia o l’autenticazione a più fattori, se i rischi erano prevedibili, se le promesse di sicurezza erano allineate con la realtà e se i consumatori avessero mezzi per proteggersi.
