Coinbase 因支援人員受賄與客戶資料外洩遭提告

Coinbase 因揭露一次與受賄有關的資料外洩事故，導致用戶個資遭駭並正面臨法律壓力升高。交易所宣布資料外洩以及相關兩千萬美元勒索事件後48小時內，至少有六宗聯邦訴訟提出，提告者指控公司疏忽、內部控管不嚴，處理事故善後不當。

這些法律行動於5月15日至16日間分別在紐約與加州聯邦法院提出，控訴 Coinbase 基本個資保護失職，對外反應遲緩且混亂，而 Coinbase 早已因合規問題遭美國證券交易委員會（SEC）調查。

訴訟指出，系統性缺陷導致不法人員能賄賂客服代表進而非法存取 Coinbase 內部系統。原告認為，這起事件反映平台資安結構更廣泛的漏洞，而這些並非 Coinbase 獨有，對於逐漸高度集中的中心化加密交易所而言更是共同隱憂。

根據 Coinbase 自行聲明，這次資料外洩源於駭客向多位客服人員行賄，據傳透過 Telegram 以金錢引誘他們提供內部管理工具的存取權限。Coinbase 已證實解雇多位印度當地涉案的支援人員，但內部究責範圍仍不明朗。

攻擊者據稱存取並導出包括：

• 姓名、電子郵件、電話號碼
• 居住地址
• 社會安全碼後四碼
• 證件文件如護照與駕照
• 帳戶中繼資料，包括餘額與交易紀錄

公司於5月15日表示，四天前接獲兩千萬美元贖款要求，顯示外洩與公開告知間存有時間落差。用戶及法律觀察者批評這種延遲進一步危及受害者，未能及早凍結帳戶或開啟信用監控。

訴訟焦點：疏忽與資安措施不足

對 Coinbase 提出的多宗訴訟主軸一致：交易所沒有落實及維持足夠的資安防護以保護敏感用戶資料。

紐約聯邦法院的 Paul Bender 領銜訴訟稱，Coinbase「未執行合理防護」，使數以百萬用戶暴露於「嚴重且持續的風險」之下。訴狀同時批評公司溝通策略「不足、零散、延遲」。

原告指出，潛在風險遠超過金錢損失。與被盜虛擬錢包或代幣不同，身份證明文件一旦外洩，無法回收或更換，使受害者長期暴露於身份盜用、釣魚及金融詐騙。

其中一項訴訟特別加訴「不當得利」，指控 Coinbase 沒有投入充足資源強化資安，卻憑用戶資料及活動獲益。

另一項於加州提起的訴訟更提出，要求 Coinbase 刪除所有持有的敏感用戶資料，接受第三方資訊安全稽核，並深度改革資料保存與存取政策。

所有訴訟均要求財務賠償與禁止令，但訴訟是否會合併或漫長仍未可知。

產業衝擊：內部人員風險與中心化危機

Coinbase 資料外洩及接踵而至的訴訟，凸顯中心化加密基礎設施的關鍵風險。雖然去中心化金融（DeFi）致力消除信任中介，但 Coinbase 等交易所不僅為資產託管人，還承擔著遵守 KYC 與反洗錢法規所需的完整身份資訊儲存責任。

龐大的身份資料使中心化交易所成為駭客高度鎖定目標。但案例中外洩並非來自複雜軟體漏洞，而是社交工程與內部人員操控，這類威脅難以靠程式碼查覺或防範。

隨著美國比特幣、以太坊現貨 ETF 增多，Coinbase 的機構角色愈加重要，目前託管絕大多數經 SEC 核准的加密 ETF。這種集權使系統性風險再上一層。

財經記者 Eleanor Terret 指出：「如果 Coinbase 無法確保內部系統安全，所有以其為基礎的 ETF 結構都將存在漏洞。」

SEC 敦促與財務衝擊

除訴訟外，Coinbase 也向 SEC 揭露預計將因受害者賠償和事件處理，承擔 1.8 億至 4 億美元成本。雖然公司拒絕支付贖金，但已承諾補償因外洩資料而遭詐騙轉帳的用戶。

SEC 另據傳調查 Coinbase 是否在 2021 年財報誤報用戶數據，加重這家上市公司的監管壓力。

資料外洩公告當日，Coinbase 股價（COIN）下跌 7%，至 244 美元，不過隔日反彈 9%，顯示投資人或對長期韌性有信心，或已習慣加密產業波動。

資安體系檢討

Coinbase 的內部存取控管現正被徹查。業界人士認為客服不應取得完整身份資料。

一位美國受監管交易所前法遵主任指出：「沒理由給支援人員存取完整 KYC 記錄，尤其沒有密碼化日誌或分權限制，根本是在自找麻煩。」

呼籲改革不限於 Coinbase，全產業內交易所均需：

• 降低敏感資料內部存取權限
• 實施嚴格角色型權限控管
• 所有資料調閱均應加密驗證記錄
• 支援驗證優先採零知識證明或加密憑證
• 讓用戶查詢資料何時、由誰存取

這些措施實施成本高、作業複雜，但隨著法律與信譽風險升高，交易所或許已無其他選擇。

用戶曝險現實威脅

超越法律層面，受害用戶正面對高度真實的風險。專家警告，此次外洩的證件與住所資料恐被用於開設假帳戶、冒名金融交易，甚至構成人身威脅。

金融科技律師 Ariel Givner 證實，她已接獲受影響客戶諮詢，不僅擔心財務損失，更怕人身安全受影響。加密資產結合個資形成極高風險。

此一事件亦與近期加密產業暴力升溫現象相呼應。今年初巴黎即發生加密公司高層家人綁架未遂事件。當地址與資產規模遭外洩，這類攻擊風險猶增。

交易所信任危機

Coinbase 資料外洩事件突顯產業緊張現實：為了合規與擴張，交易所日益中心化，也相對脆弱。

長期以來，去中心化話題多聚焦於區塊鏈和共識機制，然而對大多數用戶而言，與加密經濟接軌的起點與終點即是中心化交易所。當交易所本身成為系統性風險，全體產業皆受影響。

針對 Coinbase 的訴訟或將成業界分水嶺，促使平台徹底檢討內部政策，優先落實資料最小化，並尋求新型 KYC 資料保存架構。

在此之前，用戶仍被迫仰賴不透明的內控機制、權限過大的支援人員、嚴重落後的資料政策，難以確保財務新工具下的資訊安全。

結語

Coinbase 一連串訴訟不僅是企業危機，更是對中心化加密運營與合規資安極限的實例。利用內部行賄取得用戶資料，象徵威脅面向新層次，並非靠公關或部分賠償即能解決。

Coinbase 能否勝訴，關鍵在其內控政策、資訊揭露時機與用戶保障措施細節。

無論結果為何，這起事件已觸發產業內部對身分、存取與信任交界處嚴肅討論，現實風險或許就潛伏於防火牆內部。