Crypto.com bestreitet, das Leck von Nutzerdaten im Jahr 2023 nicht offengelegt zu haben

In einem Bloomberg-Bericht vom Sonntag wurde behauptet, dass Krypto Börse Crypto.com angeblich einen Sicherheitsvorfall im Jahr 2023 im Zusammenhang mit Nutzerdaten nicht offengelegt habe.

Das Unternehmen hat die Anschuldigungen jedoch zurückgewiesen und sagt, es habe den Verstoß bei den Aufsichtsbehörden eingereicht und das Problem innerhalb weniger Stunden eingedämmt.

Dem Bericht zufolge ereignete sich die fragliche Datenschutzverletzung wahrscheinlich Anfang 2023 und wurde von Mitgliedern von Scattered Spider orchestriert, einer cyberkriminellen Gruppe, die dafür bekannt ist, Unternehmen mit Social-Engineering-Taktiken ins Visier zu nehmen.

Ein komplexer Phishing-Angriff

Die Ermittler sagen, dass sich die Hacker Zugang zu internen Crypto.com-Systemen verschafften, indem sie sich als IT-Mitarbeiter ausgaben, und Mitarbeiter dazu brachten, Anmeldeinformationen herauszugeben.

Sobald sie sich im Inneren befanden, griffen sie Berichten zufolge auf sensible Benutzerinformationen zu.

Die Angreifer, darunter der damalige Teenager Noah Urban, verwendeten angeblich gestohlene persönliche Daten, von denen einige über ein kompromittiertes UPS-System erlangt wurden, um ihre Phishing-Operation zu unterstützen.

Die Untersuchung von Bloomberg bringt den Vorfall mit einer größeren Serie in Verbindung, bei der Scattered Spider über 200 Unternehmen aus verschiedenen Branchen mit ähnlichen Taktiken infiltrierte.

Im Fall von Crypto.com betraf der Verstoß Berichten zufolge eine begrenzte Anzahl von Nutzern, obwohl das genaue Ausmaß aufgrund des anfänglich schweigenden Umgangs der Plattform mit der Angelegenheit unklar bleibt.

Kritiker haben argumentiert, dass das Versäumnis von Crypto.com, den Verstoß rechtzeitig und transparent öffentlich zu machen, die betroffenen Benutzer einem weiteren Risiko ausgesetzt haben könnte.

Der Blockchain-Detektiv ZachXBT beschuldigte die Börse, den Vorfall absichtlich zu vertuschen, und behauptete, es sei nicht das erste Mal, dass die Plattform mit nicht offengelegten Sicherheitslücken in Verbindung gebracht wurde. Siehe unten.

Einige Branchenbeobachter stellten auch in Frage, ob die Börse die betroffenen Benutzer angemessen informiert hatte, und wiesen darauf hin, dass solche Vorfälle sie Phishing, Identitätsdiebstahl oder Folgeangriffen aussetzen könnten.

Crypto.com spielt Vorwürfe herunter

Als Reaktion darauf hat sich die Crypto.com vehement gegen die Vertuschungsvorwürfe gewehrt.

Ein Unternehmenssprecher teilte Krypto-Medien mit, dass das Unternehmen eine "Mitteilung über einen Datensicherheitsvorfall" beim U.S. Nationwide Multistate Licensing System (NMLS) eingereicht und auch Berichte an die zuständigen Aufsichtsbehörden übermittelt habe.

Crypto.com betonte, dass der Vorfall schnell identifiziert und innerhalb weniger Stunden eingedämmt werden konnte.

"Der Vorfall beinhaltete die Offenlegung begrenzter PII-Daten, die eine sehr kleine Anzahl von Personen betreffen", sagte der Sprecher und behauptete, dass keine Kundengelder abgerufen oder gefährdet wurden.

Crypto.com-CEO Kris Marszalek hat sich ebenfalls zu den Behauptungen von Bloomberg geäußert und bezeichnet, dass der Bericht auf "uninformierten Quellen" beruhe.

"Ich möchte direkt und klar auf einige Fehlinformationen eingehen, die sich aus uninformierten Quellen verbreiten ... jede Andeutung, dass wir einen Sicherheitsvorfall nicht gemeldet oder offengelegt haben, ist völlig unbegründet", schrieb Marszalek auf X.

Zentralisierte Börsen unter Beschuss

Gerade als sich der Staub um vergangene Börsenverletzungen zu legen begann, haben die Bloomberg-Enthüllungen neue Zweifel daran geweckt, wie sicher Benutzerdaten auf zentralisierten Plattformen wirklich sind.

Coinbase, ein großer Name auf dem Kryptobörse Markt, fand sich im Zentrum eines großen Datenlecks wieder, bei dem die persönlichen Daten von über 69.000 Nutzern kompromittiert wurden.

Im Gegensatz zu Crypto.com war die Coinbase-Sicherheitsverletzung direkt das Ergebnis von Insider-Fehlverhalten bei TaskUs, einem Drittanbieter für den Kundensupport, den das Unternehmen beauftragt hatte.

Laut Gerichtsakten stahlen eine TaskUs-Mitarbeiterin namens Ashita Mishra und ihre Komplizen über mehrere Monate hinweg Benutzerdaten und verkauften sie an Hacker, die die Daten später für Identitätsbetrug verwendeten.

Es gingen keine Gelder verloren, aber Coinbase geriet in die Kritik , weil es den Vorfall nicht sofort an seine Kunden gemeldet hatte, wodurch viele Phishing-Versuchen und Identitätsdiebstahl ausgesetzt waren.

Die Folgen zwangen Coinbase, die Beziehungen zu TaskUs abzubrechen, seine Support-Abläufe zu überarbeiten und bis zu 400 Millionen US-Dollar für Abhilfemaßnahmen auszugeben.