Crypto.com nie avoir omis de divulguer la fuite de données des utilisateurs de 2023

Un rapport de Bloomberg a affirmé dimanche que plateforme crypto Crypto.com aurait omis de divulguer un incident de sécurité survenu en 2023 impliquant des données d’utilisateurs.

Cependant, la société a nié l’accusation et a déclaré qu’elle avait déposé la violation auprès des régulateurs et contenu le problème en quelques heures.

Selon le rapport, la violation de données en question s’est probablement produite au début de l’année 2023 et a été orchestrée par des membres de Scatter Spider, un groupe cybercriminel connu pour cibler les entreprises avec des tactiques d’ingénierie sociale.

Une attaque de phishing complexe

Les enquêteurs affirment que les pirates ont eu accès aux systèmes de Crypto.com internes en se faisant passer pour le personnel informatique et en incitant les employés à transmettre leurs informations d’identification.

Une fois à l’intérieur, ils auraient accédé à des informations sensibles sur les utilisateurs.

Les attaquants, dont Noah Urban, alors adolescent, auraient utilisé des données personnelles volées, dont certaines obtenues via un système UPS compromis, pour soutenir leur opération de phishing.

L’enquête de Bloomberg établit un lien entre l’incident et une série plus vaste au cours de laquelle Scatter Spider a infiltré plus de 200 entreprises de différents secteurs en utilisant des tactiques similaires.

Dans le cas de Crypto.com, la violation aurait affecté un nombre limité d’utilisateurs, bien que la portée exacte reste incertaine en raison de la gestion initialement silencieuse de l’affaire par la plateforme.

Les critiques ont fait valoir que le fait que Crypto.com n’ait pas divulgué publiquement l’atteinte en temps opportun et de manière transparente aurait pu exposer les utilisateurs concernés à un risque supplémentaire.

Le détective de la blockchain ZachXBT a accusé l’exchange d’avoir délibérément dissimulé l’incident et a affirmé que ce n’était pas la première fois que la plateforme était liée à des failles de sécurité non divulguées. Voir ci-dessous.

Certains observateurs de l’industrie se sont également demandé si l’exchange avait correctement informé les utilisateurs concernés, notant que de tels incidents pourraient les exposer à des attaques de phishing, d’usurpation d’identité ou de suivi.

Crypto.com minimise les allégations

En réponse, Crypto.com a fermement repoussé les allégations de dissimulation.

Un porte-parole de l’entreprise a déclaré aux médias cryptographiques que l’entreprise avait déposé un « avis d’incident de sécurité des données » auprès du système américain Nationwide Multistate Licensing System (NMLS) et avait également soumis des rapports aux régulateurs compétents.

Crypto.com a souligné que l’incident avait été rapidement identifié et contenu en quelques heures.

« L’incident comprenait l’exposition de données PII limitées affectant un très petit nombre d’individus », a déclaré le porte-parole, tout en affirmant qu’aucun fonds de client n’avait été consulté ou mis en danger.

Le PDG de Crypto.com, Kris Marszalek, s’est également exprimé sur les affirmations de Bloomberg et a décrit le rapport comme basé sur des « sources non informées ».

« Je veux répondre directement et clairement à certaines informations erronées qui se propagent à partir de sources non informées... toute suggestion selon laquelle nous n’avons pas signalé ou divulgué un incident de sécurité est totalement infondée », a écrit Marszalek sur X.

Les échanges centralisés sous le feu des critiques

Alors que la poussière commençait à retomber autour des violations d’échanges passées, les révélations de Bloomberg ont suscité de nouveaux doutes sur la sécurité réelle des données des utilisateurs sur les plateformes centralisées.

Coinbase, un grand nom du marché plateforme crypto , s’est retrouvé au centre d’une importante fuite de données qui a compromis les informations personnelles de plus de 69 000 utilisateurs.

Contrairement à Crypto.com, la violation de Coinbase était directement le résultat d’une inconduite d’initié chez TaskUs, un fournisseur tiers de support client qu’elle avait employé.

Selon les documents judiciaires, une employée de TaskUs nommée Ashita Mishra et ses complices ont volé les dossiers des utilisateurs pendant plusieurs mois et les ont vendus à des pirates informatiques qui ont ensuite utilisé les données pour des escroqueries par usurpation d’identité.

Aucun fonds n’a été perdu, mais Coinbase a fait l’objet de nombreuses critiques pour ne pas avoir rapidement signalé l’incident à ses clients, laissant beaucoup d’entre eux exposés à des tentatives de phishing et à des risques de vol d’identité.

Les retombées ont forcé Coinbase à rompre ses liens avec TaskUs, à remanier ses opérations de support et à dépenser jusqu’à 400 millions de dollars en efforts de remédiation.