Crypto.com nega di non aver divulgato la fuga di dati degli utenti del 2023

Un rapporto di Bloomberg di domenica ha affermato che exchange crypto Crypto.com avrebbe omesso di rivelare un incidente di sicurezza del 2023 che ha coinvolto i dati degli utenti.

Tuttavia, la società ha negato l'accusa e afferma di aver presentato la violazione alle autorità di regolamentazione e di aver contenuto il problema in poche ore.

Secondo il rapporto, la violazione dei dati in questione si è probabilmente verificata all'inizio del 2023 ed è stata orchestrata dai membri di Scattered Spider, un gruppo di criminali informatici noto per prendere di mira le aziende con tattiche di ingegneria sociale.

Un attacco di phishing complesso

Gli investigatori affermano che gli hacker hanno ottenuto l'accesso ai sistemi Crypto.com interni impersonando il personale IT e inducendo i dipendenti a consegnare le credenziali.

Una volta dentro, secondo quanto riferito, hanno avuto accesso a informazioni sensibili degli utenti.

Gli aggressori, tra cui l'allora adolescente Noah Urban, avrebbero utilizzato dati personali rubati, alcuni dei quali ottenuti tramite un sistema UPS compromesso, per supportare la loro operazione di phishing.

L'indagine di Bloomberg collega l'incidente a una baldoria più grande in cui Scattered Spider si è infiltrato in oltre 200 aziende di diversi settori utilizzando tattiche simili.

Nel caso di Crypto.com, la violazione avrebbe interessato un numero limitato di utenti, anche se l'ambito esatto rimane poco chiaro a causa della gestione inizialmente silenziosa della questione da parte della piattaforma.

I critici hanno sostenuto che la mancata divulgazione pubblica della violazione da parte di Crypto.com in modo tempestivo e trasparente potrebbe aver messo ulteriormente a rischio gli utenti interessati.

L'investigatore blockchain ZachXBT ha accusato l'exchange di aver deliberatamente coperto l'incidente e ha affermato che non era la prima volta che la piattaforma veniva collegata a falle di sicurezza non divulgate. Vedi sotto.

Alcuni osservatori del settore si sono anche chiesti se l'exchange avesse adeguatamente notificato gli utenti interessati, sottolineando che tali incidenti potrebbero esporli a phishing, furto di identità o attacchi di follow-up.

Crypto.com minimizza le accuse

In risposta, Crypto.com ha fortemente respinto le accuse di insabbiamento.

Un portavoce dell'azienda ha dichiarato ai media crypto che l'azienda ha presentato un "avviso di incidente di sicurezza dei dati" presso il Nationwide Multistate Licensing System (NMLS) degli Stati Uniti e ha anche presentato rapporti alle autorità di regolamentazione competenti.

Crypto.com ha sottolineato che l'incidente è stato rapidamente identificato e contenuto nel giro di poche ore.

"L'incidente ha incluso l'esposizione di dati PII limitati che hanno colpito un numero molto piccolo di individui", ha detto il portavoce, affermando che non è stato effettuato l'accesso o il rischio di fondi dei clienti.

Anche l'amministratore delegato di Crypto.com, Kris Marszalek, si è espresso in merito alle affermazioni di Bloomberg e ha descritto il rapporto come basato su "fonti non informate".

"Voglio affrontare direttamente e chiaramente la disinformazione che si diffonde da fonti disinformate ... qualsiasi suggerimento che non abbiamo segnalato o rivelato un incidente di sicurezza è completamente infondato", ha scritto Marszalek su X.

Gli exchange centralizzati sotto tiro

Proprio mentre le acque cominciavano a calmarsi sulle passate violazioni degli exchange, le rivelazioni di Bloomberg hanno suscitato nuovi dubbi sulla sicurezza dei dati degli utenti sulle piattaforme centralizzate.

Coinbase, nome di spicco nel mercato l'exchange crypto , si è trovata al centro di una grossa fuga di dati che ha compromesso le informazioni personali di oltre 69.000 utenti.

A differenza di Crypto.com, la violazione di Coinbase è stata direttamente il risultato di una cattiva condotta interna di TaskUs, un fornitore di assistenza clienti di terze parti che aveva impiegato.

Secondo i documenti del tribunale, una dipendente di TaskUs di nome Ashita Mishra e i suoi complici hanno rubato i record degli utenti per diversi mesi e li hanno venduti agli hacker che in seguito hanno utilizzato i dati per truffe di impersonificazione.

Non sono stati persi fondi, ma Coinbase è stata oggetto di molte critiche per non aver segnalato tempestivamente l'incidente ai suoi clienti, lasciando molti esposti a tentativi di phishing e rischi di furto di identità.

Le ricadute hanno costretto Coinbase a recidere i legami con TaskUs, rivedere le sue operazioni di supporto e spendere fino a 400 milioni di dollari per gli sforzi di rimedio.