Crypto.com benægter at have undladt at afsløre 2023 brugerdatalækage

En Bloomberg-rapport søndag hævdede, at kryptobørs Crypto.com angiveligt undlod at afsløre en sikkerhedshændelse i 2023, der involverede brugerdata.

Virksomheden har dog benægtet anklagen og siger, at den indgav bruddet til tilsynsmyndighederne og inddæmmede problemet inden for få timer.

Ifølge rapporten fandt det pågældende databrud sandsynligvis sted i begyndelsen af 2023 og blev orkestreret af medlemmer af Scattered Spider, en cyberkriminel gruppe, der er kendt for at målrette mod virksomheder med social engineering-taktik.

Et komplekst phishing-angreb

Efterforskere siger, at hackerne fik adgang til interne Crypto.com systemer ved at udgive sig for at være it-personale og narre medarbejdere til at udlevere legitimationsoplysninger.

Da de først var inde, fik de angiveligt adgang til følsomme brugeroplysninger.

Angriberne, herunder den daværende teenager Noah Urban, brugte angiveligt stjålne personlige data, hvoraf nogle blev indhentet via et kompromitteret UPS-system, til at understøtte deres phishing-operation.

Bloombergs undersøgelse forbinder hændelsen med en større bølge, hvor Scattered Spider infiltrerede over 200 virksomheder på tværs af forskellige sektorer ved hjælp af lignende taktikker.

I Crypto.com tilfælde påvirkede bruddet angiveligt et begrænset sæt brugere, selvom det nøjagtige omfang stadig er uklart på grund af platformens oprindeligt tavse håndtering af sagen.

Kritikere har hævdet, at Crypto.com undladelse af at offentliggøre bruddet rettidigt og gennemsigtigt kan have sat berørte brugere i yderligere fare.

Blockchain-detektiven ZachXBT beskyldte børsen for bevidst at dække over hændelsen og hævdede, at det ikke var første gang, at platformen var blevet forbundet med uoplyste sikkerhedsfejl. Se nedenfor.

Nogle brancheobservatører satte også spørgsmålstegn ved, om børsen havde underrettet berørte brugere tilstrækkeligt, og bemærkede, at sådanne hændelser kunne udsætte dem for phishing, identitetstyveri eller opfølgende angreb.

Crypto.com nedtoner beskyldninger

Som svar har Crypto.com kraftigt skubbet tilbage mod cover-up-påstandene.

En talsmand for virksomheden fortalte kryptomedierne, at firmaet havde indgivet en "Notice of Data Security-hændelse" til US Nationwide Multistate Licensing System (NMLS) og også indsendt rapporter til de relevante tilsynsmyndigheder.

Crypto.com har understreget, at hændelsen hurtigt blev identificeret og inddæmmet inden for få timer.

"Hændelsen omfattede eksponering af begrænsede PII-data, der påvirkede et meget lille antal personer," sagde talsmanden, mens han hævdede, at ingen kundemidler blev tilgået eller bragt i fare.

Crypto.com administrerende direktør Kris Marszalek har også udtalt sig om Bloombergs påstande og beskrevet rapporten som baseret på "uinformerede kilder."

"Jeg vil direkte og tydeligt adressere nogle misinformationer, der spredes fra uinformerede kilder... enhver antydning af, at vi ikke rapporterede eller afslørede en sikkerhedshændelse, er fuldstændig ubegrundet," skrev Marszalek på X.

Centraliserede børser under beskydning

Netop som støvet var begyndt at lægge sig omkring tidligere børsbrud, har Bloomberg-afsløringerne rejst ny tvivl om, hvor sikre brugerdata egentlig er på centraliserede platforme.

Coinbase, et stort navn på det kryptobørs marked, befandt sig i centrum for en større datalækage, der kompromitterede de personlige oplysninger om over 69.000 brugere.

I modsætning til Crypto.com var Coinbase-bruddet direkte resultatet af insiderforseelse hos TaskUs, en tredjeparts kundesupportleverandør, som den havde ansat.

Ifølge retsdokumenter stjal en TaskUs-medarbejder ved navn Ashita Mishra og hendes medskyldige brugeroptegnelser over flere måneder og solgte dem til hackere, som senere brugte dataene til efterligningssvindel.

Ingen midler gik tabt, men Coinbase kom under stor varme for ikke straks at rapportere hændelsen til sine kunder, hvilket efterlod mange udsat for phishing-forsøg og identitetstyveririsici.

Nedfaldet tvang Coinbase til at afbryde båndene til TaskUs, revidere sine supportoperationer og bruge så meget som 400 millioner dollars på afhjælpningsindsatser.