Retour au Blog
LegalTech & IA

Coinbase : quand le maillon faible est un centre d'appels, 70 000 clients exposés

Comité de Rédaction NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
13 juillet 2026
10 min de lecture
Coinbase : quand le maillon faible est un centre d'appels, 70 000 clients exposés

Comment un appel au support a fait fuiter 70 000 KYC

Le 15 février 2023, Coinbase a révélé une fuite de données massive : les documents d'identité de 70 000 clients ont été dérobés via une attaque d'ingénierie sociale ciblant son prestataire de centre d'appels, TaskUs. Les hackers ont appelé le support, se sont fait passer pour des employés, et ont obtenu l'accès aux systèmes internes. Résultat : permis de conduire, passeports, selfies KYC… tout est parti.

L'ingénierie sociale : l'art de pirater les humains

L'ingénierie sociale, c'est comme convaincre votre banquier que vous avez oublié votre mot de passe en imitant la voix de votre mère. Sauf que là, les hackers ont imité des employés de TaskUs, et ça a marché. Pas de code malveillant, pas de faille zero-day : juste un appel bien rodé. C'est la preuve que la sécurité la plus sophistiquée peut être contournée par un simple mensonge.

TaskUs : le maillon faible de la crypto

TaskUs est un sous-traitant de support client pour Coinbase. En confiant ses données sensibles à un tiers, Coinbase a créé une surface d'attaque supplémentaire. Les hackers ont exploité la confiance : ils ont appelé le service IT de TaskUs, ont prétendu être des employés bloqués, et ont réinitialisé des accès. Une fois à l'intérieur, ils ont téléchargé les fichiers KYC. Leçon : externaliser, c'est bien, mais auditer ses partenaires, c'est mieux.

Que faire si vous êtes concerné ?

Coinbase a envoyé des emails aux victimes. Si vous en faites partie, changez immédiatement vos mots de passe, activez l'authentification à deux facteurs (2FA) et surveillez vos comptes pour toute activité suspecte. Méfiez-vous des emails de phishing qui pourraient suivre : les hackers ont vos données personnelles, ils peuvent les utiliser pour vous cibler.

Leçons pour les entreprises : la sécurité humaine avant tout

Cette fuite rappelle que la sécurité ne se limite pas aux pare-feux. Former les employés à détecter l'ingénierie sociale est crucial. Mettez en place des procédures de vérification d'identité strictes pour les appels au support. Et surtout, ne stockez pas les KYC comme des fichiers sur un serveur partagé. Le RGPD exige des mesures techniques et organisationnelles appropriées ; cette fuite montre que Coinbase et TaskUs ont failli.

FAQ

Quels types de documents ont été volés ?

Les hackers ont dérobé des documents KYC (Know Your Customer) : permis de conduire, passeports, cartes d'identité et selfies de vérification. Ces données permettent l'usurpation d'identité.

Comment les hackers ont-ils procédé ?

Ils ont utilisé l'ingénierie sociale : ils ont appelé le support IT de TaskUs en se faisant passer pour des employés, ont réinitialisé des accès, puis ont téléchargé les fichiers KYC depuis les systèmes internes.

Que faire si je suis client Coinbase ?

Vérifiez vos emails de Coinbase. Si vous êtes concerné, changez vos mots de passe, activez la 2FA, et surveillez vos comptes. Soyez vigilant face aux tentatives de phishing utilisant vos données volées.

Checklist de sécurité post-fuite

NakedPact Logo

Comité de Rédaction NakedPact

Article conçu par la rédaction de NakedPact. Notre mission est d'analyser, de simplifier et de révéler les clauses abusives et les risques cachés dans les contrats du quotidien pour protéger les citoyens et les consommateurs.

Êtes-vous propriétaire d'un site Web?

Êtes-vous propriétaire d'un site Web?

Vous souhaitez communiquer à vos utilisateurs votre transparence dans le traitement des données ? Utilisez dynamiquement notre badge et affichez la conformité de votre plateforme.

🛡️ Protégez vos droits en un clic

Ne risquez pas de signer des clauses abusives. Installez l'extension gratuite NakedPact pour Chrome ou Firefox et analysez instantanément n'importe quel contrat sur le web.

Ne faites pas confiance, vérifiez.

Maintenant que vous connaissez les risques, ne signez pas aveuglément. Téléchargez votre contrat e laissez l'IA trouver les clauses cachées. C'est 100% gratuit.

Analysez votre contrat maintenant

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.