Crypto.com menafikan gagal mendedahkan kebocoran data pengguna 2023

Laporan Bloomberg pada hari Ahad mendakwa bahawa pertukaran kripto Crypto.com didakwa gagal mendedahkan insiden keselamatan 2023 yang melibatkan data pengguna.

Walau bagaimanapun, syarikat itu telah menafikan tuduhan itu dan mengatakan ia memfailkan pelanggaran itu dengan pengawal selia dan membendung isu itu dalam beberapa jam.

Menurut laporan itu, pelanggaran data yang dimaksudkan mungkin berlaku pada awal 2023 dan didalangi oleh ahli Scattered Spider, kumpulan penjenayah siber yang terkenal kerana menyasarkan syarikat dengan taktik kejuruteraan sosial. 

Serangan pancingan data yang kompleks

Penyiasat berkata penggodam mendapat akses kepada sistem Crypto.com dalaman dengan menyamar sebagai kakitangan IT dan menipu pekerja untuk menyerahkan kelayakan.

Sebaik sahaja masuk, mereka dilaporkan mengakses maklumat pengguna yang sensitif.

Penyerang, termasuk remaja ketika itu, Noah Urban, didakwa menggunakan data peribadi yang dicuri, sebahagian daripadanya diperoleh melalui sistem UPS yang terjejas, untuk menyokong operasi pancingan data mereka. 

Siasatan Bloomberg mengaitkan insiden itu dengan kejadian yang lebih besar di mana Scattered Spider menyusup ke lebih 200 syarikat merentasi sektor yang berbeza menggunakan taktik yang sama. 

Dalam kes Crypto.com, pelanggaran itu dilaporkan menjejaskan sekumpulan pengguna yang terhad, walaupun skop sebenar masih tidak jelas kerana pengendalian platform pada mulanya senyap mengenai perkara itu.

Pengkritik berpendapat bahawa kegagalan Crypto.com untuk mendedahkan pelanggaran itu secara terbuka tepat pada masanya dan telus mungkin telah meletakkan pengguna yang terjejas pada risiko yang lebih lanjut. 

Penyiasat blockchain ZachXBT menuduh pertukaran itu sengaja menutup kejadian itu dan mendakwa ia bukan kali pertama platform itu dikaitkan dengan kesilapan keselamatan yang tidak didedahkan. Lihat di bawah.

Sesetengah pemerhati industri juga mempersoalkan sama ada pertukaran itu telah memberitahu pengguna yang terjejas dengan secukupnya, dengan menyatakan bahawa insiden sedemikian boleh mendedahkan mereka kepada pancingan data, kecurian identiti atau serangan susulan.

Crypto.com meremehkan tuduhan

Sebagai tindak balas, Crypto.com telah menolak keras dakwaan penyamaran itu. 

Jurucakap syarikat memberitahu media kripto bahawa firma itu telah memfailkan "Notis insiden Keselamatan Data" dengan Sistem Pelesenan Berbilang Negeri Seluruh Negara AS (NMLS) dan juga menyerahkan laporan kepada pengawal selia yang berkaitan. 

Crypto.com telah menekankan bahawa kejadian itu dikenal pasti dengan cepat dan dibendung dalam masa beberapa jam.

"Kejadian itu termasuk pendedahan data PII terhad yang menjejaskan sebilangan kecil individu," kata jurucakap itu, sambil mendakwa bahawa tiada dana pelanggan diakses atau diletakkan dalam risiko.

Ketua Pegawai Eksekutif Crypto.com Kris Marszalek juga telah bersuara mengenai dakwaan Bloomberg dan menyifatkan laporan itu sebagai berdasarkan "sumber yang tidak bermaklumat."

"Saya ingin menangani secara langsung dan jelas beberapa maklumat salah yang tersebar daripada sumber yang tidak bermaklumat....sebarang cadangan bahawa kami tidak melaporkan atau mendedahkan insiden keselamatan adalah tidak berasas sama sekali," tulis Marszalek di X.

Pertukaran berpusat di bawah tembakan

Sama seperti habuk mula mendap di sekitar pelanggaran pertukaran masa lalu, pendedahan Bloomberg telah menimbulkan keraguan baru tentang betapa selamatnya data pengguna sebenarnya pada platform berpusat.

Coinbase, nama utama dalam pasaran pertukaran kripto, mendapati dirinya berada di tengah-tengah kebocoran data utama yang menjejaskan maklumat peribadi lebih 69,000 pengguna. 

Tidak seperti Crypto.com, pelanggaran Coinbase secara langsung disebabkan oleh salah laku orang dalam di TaskUs, vendor sokongan pelanggan pihak ketiga yang telah digunakannya.

Menurut pemfailan mahkamah, seorang pekerja TaskUs bernama Ashita Mishra dan rakan sejenayahnya mencuri rekod pengguna selama beberapa bulan dan menjualnya kepada penggodam yang kemudiannya menggunakan data itu untuk penipuan penyamaran.

Tiada dana yang hilang, tetapi Coinbase mengalami banyak kepanasan kerana gagal melaporkan kejadian itu dengan segera kepada pelanggannya, menyebabkan ramai yang terdedah kepada percubaan pancingan data dan risiko kecurian identiti.

Kejatuhan itu memaksa Coinbase memutuskan hubungan dengan TaskUs, membaik pulih operasi sokongannya dan membelanjakan sebanyak $400 juta untuk usaha pemulihan.