Sự cố rò rỉ dữ liệu của Coinbase: Nạn nhân chia rẽ về chiến lược pháp lý

Khi nhiều chi tiết về sự cố rò rỉ dữ liệu gần đây của Coinbase được tiết lộ, nạn nhân chia rẽ về chiến lược pháp lý.

Vào tháng 5, Coinbase đã tiết lộ rằng thông tin cá nhân, bao gồm hình ảnh ID chính phủ và số an sinh xã hội một phần, của hơn 69.000 người dùng đã bị đánh cắp. Các luật sư đại diện cho nạn nhân cho biết trong các đơn kiện rằng Coinbase và một bên thứ ba đã phát hiện ra vụ tấn công vào tháng 1, nhưng đã chờ đến tháng 5 mới thông báo cho khách hàng và nhà quản lý.

Trong một hồ sơ quy định, Coinbase khẳng định rằng họ đã biết về sự cố rò rỉ dữ liệu vào tháng 5 năm 2025 khi một hacker yêu cầu khoản tiền chuộc 20 triệu đô la từ sàn giao dịch. Chính sự cố này đã xảy ra vào tháng 12 năm 2024, Coinbase cho biết trong hồ sơ.

Sự việc đã thúc đẩy nhiều vụ kiện chống lại Coinbase. Phần lớn các vụ án đã được chuyển sang trọng tài, có thể do một điều khoản trong thỏa thuận người dùng của sàn giao dịch. Coinbase đã cập nhật các điều khoản của mình vào tháng 3.

Sau khi sự cố bị tiết lộ, văn phòng luật sư kiện tập thể Greenbaum
Olbrantz đã kiện TaskUs, một dịch vụ bên thứ ba mà Coinbase sử dụng để cung cấp dịch vụ hỗ trợ khách hàng. Trong một đơn kiện đã sửa đổi được nộp tuần trước, các luật sư cho biết họ đã xác định được một nghi phạm trong vụ hack và tìm thấy một người tố giác hợp tác.

Nghi phạm là nhân viên cũ của TaskUs, Ashita Mishra, đơn kiện cáo buộc. Mishra bắt đầu đánh cắp và bán thông tin khách hàng bí mật cho các hacker vào tháng 9 năm 2024. Các nhân viên khác của TaskUs cũng đã được tuyển vào kế hoạch hối lộ, mà tiếp tục cho đến tháng 1 năm 2025, theo đơn kiện.

Đọc thêm: Hậu quả vụ vi phạm Coinbase: Phải làm gì nếu dữ liệu của bạn bị tiết lộ

Các nạn nhân theo đuổi hành động pháp lý chống lại Coinbase và TaskUs hiện đang chia rẽ về cách tiến hành.

Một nhóm muốn có một đơn kiện duy nhất, kết hợp chống lại Coinbase và TaskUs, hiệu quả là kết hợp các vụ kiện chống lại hai công ty này. Nhóm này đề xuất có 15 hãng luật, bao gồm Scott Kantrowitz Arnold, hợp tác trong vụ việc và dẫn dắt chiến lược.

Greenbaum Olbrantz, cùng với hai người khác.
er firms, disagree. Naming Coinbase as a co-defendant in the case all but guarantees the exchange will file a motion to compel arbitration. Arbitration, which happens privately, generally offers companies a less-public and less-expensive way to settle legal disputes.

If Coinbase were to succeed in this motion, the cases would be forced into individual arbitration, making the process lengthier and more expensive for victims. On the other hand, if the motion were to be denied, Coinbase could appeal, which could trigger an automatic stay in all proceedings. It’s a lose-lose, Greenbaum argues.

The group led by Scott Kantrowitz Arnold argues that a motion for arbitration wouldn’t be an issue. They have the experience necessary to navigate arbitration clauses in user agreements, attorneys wrote in a Sept. 11 court filing.

The Greenbaum team maintains that focusing on TaskUs, where they say the criminal conspiracy took place, is the right course of action. They plan to coordinate with thos
e pursuing arbitration against Coinbase while keeping the cases themselves separate, the team noted in Thursday’s filing.

Greenbaum’s amended complaint notes that this is not the first time TaskUs has been involved in a customer data breach.

In a 2022 class action lawsuit relating to a Ledger data breach, plaintiffs made similar allegations against TaskUs, claiming that employees stole customer data. The suit, filed against Shopify and TaskUs, settled in 2025 for an undisclosed amount.

The judge will now decide which team and strategy is in the best interest of the class.