Coinbase因支援人員受賄及用戶資料外洩被起訴

Coinbase 在披露由受賄引起的資料外洩事件後，正面對日漸加劇的法律壓力，該事件已導致用戶個人資料被洩漏。交易所公開披露此事件及相關的二千萬美元勒索企圖後僅48小時內，至少有六宗聯邦訴訟文件被提交，原告指控Coinbase疏忽、內部監控失效，以及對事件後續處理不當。

這些法律行動於5月15日至16日期間在紐約及加州聯邦法院提起，指控Coinbase未能履行起碼的資料保護責任，以及對外洩事件作出緩慢且零散的回應，而該公司本身已受到美國證券交易委員會（SEC）的監管審查。

訴訟指出，正是系統性失誤令不法分子得以賄賂客戶服務人員，最終未經授權地進入Coinbase內部系統。原告認為，事件反映這個平台的安全基建存在更廣泛漏洞—這可能在其他中心化加密貨幣交易所亦非罕見。

根據Coinbase自述，黑客最初向多名支援人員提出賄賂，據悉透過Telegram提供金錢，希望換取內部管理工具的存取權。Coinbase已證實解僱了涉事位於印度的支援員工，但整體內部問責程度仍未明朗。

攻擊者據報獲取及盜走了用戶資料，包括：

• 姓名、電郵、電話號碼
• 住址
• 社安號碼（後四位）
• 身份證明文件（如護照、駕駛執照）
• 賬戶元數據，包括餘額及交易紀錄

公司5月15日透露，僅四日前就收到二千萬美元勒索要求，意味事故與對外披露之間存在延遲。用戶和法律觀察者認為，這一時間差令受影響人士處於更大風險，因而錯失凍結賬戶或啟動信用監控等必要防護措施的時機。

訴訟重點：疏忽和安全措施不足

各宗針對Coinbase的訴訟有一共通指控：交易所未有實施及維持足夠的安全措施去保障敏感用戶資料。

紐約聯邦法院由Paul Bender帶頭提出的申訴指，Coinbase「未能實施合理保護措施」，導致數以百萬計用戶長期處於嚴重風險。訴狀亦批評Coinbase的溝通策略為「不充分、支離破碎及遲緩」。

原告強調，這些風險遠超單純金錢損失。不像被盜的加密貨幣錢包，個人身份文件一旦外洩便無法回收或更換，用戶面臨長期的身份盜用、釣魚詐騙甚至金融詐騙等威脅。

其中一宗訴訟還加插「不當得利」指控，直斥Coinbase在用戶數據與活動身上獲利，卻未有足夠投資於資料安全。

另一宗加州訴訟要求Coinbase清除其持有的所有敏感用戶資料、委託第三方審計內部系統，並全面檢討其資料保留和存取政策。

所有訴訟均要求金錢賠償及強制性救濟措施，但目前過程會否統一並持續多久仍屬未知之數。

行業更廣泛啟示：內部風險及中心化問題

Coinbase資料外洩及一連串訴訟，令加密貨幣行業中心化設施帶來的風險成為焦點。去中心化金融（DeFi）力圖消除受信任中介角色，但像Coinbase這類中心化交易所不但保管加密資產，更須依規定存有用戶全套身份資料（KYC及防洗錢AML所需）。

這些資料令中心化交易所成為網絡犯罪份子的重點目標。今次外洩卻非因高超技術破解，而是社會工程及內部員工勾結—這種威脅難以單靠程式或系統設計預防。

隨著美國現貨比特幣及以太幣ETF數目增長，Coinbase作為主要託管人的地位亦隨之提升。這種中心化更進一步加劇系統性風險。

財經記者Eleanor Terret指出：「如果Coinbase連自己內部系統都守不住，整個ETF架構都處於風險之中。」

SEC關注與財務影響

除了訴訟，Coinbase亦向SEC披露，預計因客戶賠償及數據洩露回應須承擔1.8億至4億美元成本。Coinbase拒絕支付勒索金，但承諾會補償受騙向黑客匯出加密貨幣的用戶。

SEC據報亦在調查Coinbase於2021年財報中用戶數據申報失實等指控，令這家上市公司監管壓力倍增。

資料外洩消息曝光當天，Coinbase股價（COIN）急跌7%至244美元，但翌日又反彈9%，反映投資者或預計公司長線仍具韌性，或他們已習慣加密股價波動。

安全模式正被全面檢視

Coinbase內部存取控制正備受關注。業界內部批評，客戶服務員工本不應有權查閱完整KYC身份紀錄。

一名曾在受美國監管的加密平台任職之前合規主管稱：「讓支援人員查閱完整KYC記錄又沒有加密日誌或分權，根本是自找麻煩。」

外界對改革的呼聲不只針對Coinbase。整個行業現正被要求：

• 最小化內部敏感資料存取
• 實施嚴格角色分級權限管理
• 以可驗證加密格式記錄所有資料請求
• 客服驗證時使用零知識證明或加密token
• 讓用戶透明知曉誰、何時存取其資料

這些措施費用高昂又運作複雜，但法律與聲譽成本激增，交易所或已別無選擇。

用戶暴露於真實世界風險

撇開法律層面，受影響的Coinbase用戶正面對實際危險。法律專家警告，今次外洩的身份證明及住址等資料，可被用作開設偽冒信貸、冒充用戶進行金融交易，甚至帶來人身安全威脅。

金融科技律師Ariel Givner證實，曾收到客戶訊息表達對財務損失及人身安全問題的擔憂。加密貨幣餘額結合詳細個人資料，構成了尤為危險的威脅渠道。

是次外洩亦碰上業界對暴力風險的憂慮。今年初巴黎曾發生綁架加密公司高層家屬事件。當住址和財富指標因資料被盜而綑綁，攻擊更加難以防範。

中心化交易所信任危機

Coinbase今次資料外洩凸顯行業一個核心矛盾：交易所規模愈大、合規愈嚴，系統愈中心化，風險亦隨之提升。

多年來，去中心化討論集中於區塊鏈與共識協議，但對大眾而言，進出加密經濟的出入口其實是中心化交易所。當交易所本身成為單點故障，整個加密行業隨時岌岌可危。

針對Coinbase的訴訟或成為行業拐點，逼使各平台徹底改善內部程序、落實資料最小化、甚至重構KYC數據架構。

在那之前，用戶仍受制於不透明的內部系統、擁有過度權限的支援人員及遠遠落後於金融創新步伐的數據政策。

結語

Coinbase這連環訴訟不僅是公司危機，更讓外界看到中心化加密營運風險及合規安全限制。內部人員受賄訪問用戶資料的手法，標誌著威脅模式再升級，這不是公關聲明或部分賠償即可解決。

Coinbase能否為自己辯護，可能取決於其內部政策細節、公佈時序及用戶保障措施。

但無論最終結果如何，這都已引發業界重塑身份、存取及信任管理模式的討論。畢竟，真正的危機往往源自防火牆之內。