Volubit.id — Coinbase, bursa kripto terbesar di Amerika Serikat (AS), belakangan ini menjadi buah bibir lantaran diguncang skandal kebocoran data pelanggan yang ditutup-tutupi selama empat bulan.

Sejumlah laporan media menyebutkan kebocoran ini pertama kali diketahui pada Januari 2025, ketika perusahaan menerima laporan bahwa data puluhan ribu penggunanya telah dicuri dari vendor layanan pelanggan mereka di India. Namun, publik baru mendapat kabar resmi pada 14 Mei2025 lalu setelah digulung tekanan dari sana-sini yang membuat pihak internal perusahaan tak lagi mampu menahan informasi skandal tersebut.

According to Reuters, Coinbase was informed in January that an employee of its contractor TaskUs in India leaked customer data, linked to a $400 million breach. A female employee filmed client info and sold it to hackers. Over 200 staff were fired. Coinbase only realized the…

— Wu Blockchain (@WuBlockchain) June 3, 2025

Berdasarkan dokumen internal yang ditinjau Reuters dan kesaksian 3 sumber yang mengetahui perkara ini, serangan siber itu bermula dari jaringan kecil pelaku yang menyuap staf di pusat layanan TaskUs, perusahaan outsourcing asal Texas yang menjadi vendor Coinbase.

Di pusat operasional TaskUs di Indore, India, beberapa staf disebut menerima bayaran untuk mengambil tangkapan layar sistem internal dan mengunduh dokumen identitas pengguna, berkas yang umumnya diminta untuk proses Know Your Customer (KYC).

Setidaknya 69.461 data pelanggan bocor. Rinciannya mencakup nama, alamat, sebagian nomor Jaminan Sosial, dan riwayat percakapan pelanggan. Data itu cukup untuk membuka peluang penyalahgunaan besar-besaran.

Coinbase mengakui kebocoran ini dan memperkirakan biaya remediasi serta tuntutan hukum yang muncul bisa mencapai $180 juta hingga $400 juta. Namun, yang membuat skandal ini kian membesar adalah dugaan bahwa Coinbase sengaja menunda pelaporan.

Di bawah aturan baru Securities and Exchange Commission (SEC), perusahaan publik diwajibkan melaporkan insiden material seperti ini dalam waktu empat hari kerja. Coinbase, meski telah menerima alarm sejak Januari, baru menyampaikan pengumuman publik empat bulan kemudian melalui dokumen 8-K.

Dalam pengumuman itu, mereka menyebut adanya “aktivitas tidak sah dalam beberapa bulan terakhir” tanpa merinci bahwa peringatan pertama masuk sejak awal tahun.

Penundaan ini mengundang reaksi keras. Gugatan class action atas dugaan penipuan sekuritas telah dilayangkan di Pennsylvania, menuding Coinbase menyembunyikan informasi merugikan yang semestinya bisa memengaruhi keputusan investor. Gugatan lain di pengadilan federal Manhattan menargetkan TaskUs atas kelalaian menjaga data pengguna.

Sementara Coinbase memutus hubungan dengan TaskUs dan mengklaim telah “memperkuat pengawasan terhadap seluruh vendor pihak ketiga,” TaskUs berdalih bahwa mereka langsung mengabarkan masalah yang terjadi ke Coinbase dan telah memecat lebih dari 200 staf di Indore.

Tapi, kerusakan akibat skandal kebocoran data sudah terjadi. Data yang bocor dijual di kanal Telegram. Pada 11 Mei lalu, para peretas mengancam Coinbase dengan permintaan tebusan sebesar $20 juta agar data dihapus. Coinbase menolak dan justru menawarkan imbalan dengan nominal yang sama bagi siapa pun yang bisa membantu menangkap pelaku.