Crypto.com niega no haber revelado la filtración de datos de los usuarios en 2023

Un informe de Bloomberg del domingo afirmó que exchange criptomonedas Crypto.com supuestamente no reveló un incidente de seguridad de 2023 que involucraba datos de usuarios.

Sin embargo, la compañía ha negado la acusación y dice que presentó la violación ante los reguladores y contuvo el problema en cuestión de horas.

Según el informe, la violación de datos en cuestión probablemente ocurrió a principios de 2023 y fue orquestada por miembros de Scatter Spider, un grupo de ciberdelincuentes conocido por atacar a las corporaciones con tácticas de ingeniería social.

Un ataque de phishing complejo

Los investigadores dicen que los piratas informáticos obtuvieron acceso a los sistemas internos de Crypto.com haciéndose pasar por personal de TI y engañando a los empleados para que entregaran credenciales.

Una vez dentro, según los informes, accedieron a información confidencial del usuario.

Los atacantes, incluido el entonces adolescente Noah Urban, supuestamente utilizaron datos personales robados, algunos de ellos obtenidos a través de un sistema UPS comprometido, para respaldar su operación de phishing.

La investigación de Bloomberg vincula el incidente con una ola más grande en la que Scatter Spider se infiltró en más de 200 empresas de diferentes sectores utilizando tácticas similares.

En el caso de Crypto.com, la violación supuestamente afectó a un conjunto limitado de usuarios, aunque el alcance exacto sigue sin estar claro debido al manejo inicialmente silencioso del asunto por parte de la plataforma.

Los críticos han argumentado que el hecho de que Crypto.com no divulgue públicamente la violación de manera oportuna y transparente puede haber puesto a los usuarios afectados en mayor riesgo.

El detective de blockchain ZachXBT acusó al exchange de encubrir deliberadamente el incidente y afirmó que no era la primera vez que la plataforma se vinculaba a fallas de seguridad no reveladas. Ver más abajo.

Algunos observadores de la industria también cuestionaron si el exchange había notificado adecuadamente a los usuarios afectados, señalando que tales incidentes podrían exponerlos a phishing, robo de identidad o ataques de seguimiento.

Crypto.com minimiza las acusaciones

En respuesta, Crypto.com ha rechazado enérgicamente las afirmaciones de encubrimiento.

Un portavoz de la compañía dijo a los medios de comunicación que la empresa había presentado un "Aviso de incidente de seguridad de datos" ante el Sistema Nacional de Licencias Multiestatales (NMLS) de EE. UU. y también presentó informes a los reguladores pertinentes.

Crypto.com ha enfatizado que el incidente fue identificado rápidamente y contenido en unas pocas horas.

"El incidente incluyó la exposición de datos PII limitados que afectaron a un número muy pequeño de personas", dijo el portavoz, al tiempo que afirmó que no se accedió ni se puso en riesgo a los fondos de los clientes.

El CEO de Crypto.com, Kris Marszalek, también se ha pronunciado sobre las afirmaciones de Bloomberg y describió el informe como basado en "fuentes desinformadas".

"Quiero abordar directa y claramente la información errónea que se difunde desde fuentes desinformadas ... cualquier sugerencia de que no informamos o divulgamos un incidente de seguridad es completamente infundada", escribió Marszalek en X.

Intercambios centralizados bajo fuego

Justo cuando el polvo comenzaba a asentarse en torno a las violaciones de exchanges pasadas, las revelaciones de Bloomberg han despertado nuevas dudas sobre qué tan seguros son realmente los datos de los usuarios en las plataformas centralizadas.

Coinbase, un nombre importante en el mercado exchange criptomonedas , se encontró en el centro de una importante filtración de datos que comprometió la información personal de más de 69,000 usuarios.

A diferencia de Crypto.com, la violación de Coinbase fue directamente el resultado de una mala conducta interna en TaskUs, un proveedor externo de atención al cliente que había empleado.

Según los documentos judiciales, una empleada de TaskUs llamada Ashita Mishra y sus cómplices robaron registros de usuarios durante varios meses y los vendieron a piratas informáticos que luego usaron los datos para estafas de suplantación de identidad.

No se perdieron fondos, pero Coinbase fue objeto de muchas críticas por no informar rápidamente del incidente a sus clientes, dejando a muchos expuestos a intentos de phishing y riesgos de robo de identidad.

Las consecuencias obligaron a Coinbase a cortar los lazos con TaskUs, revisar sus operaciones de soporte y gastar hasta 400 millones de dólares en esfuerzos de remediación.