Schuldeisers van FTX, BlockFi en Genesis klagen Kroll aan wegens datalek dat leidt tot phishing-aanvallen

Ontevreden schuldeisers van FTX, BlockFi en Genesis klagen het wereldwijde risicoadviesbureau Kroll aan wegens vermeende nalatigheid in verband met een datalek dat hun persoonlijke informatie blootlegde en hen onderwierp aan phishing-aanvallen.

Volgens de rechtszaak die op 19 augustus is aangespannen bij een Amerikaanse rechtbank namens FTX-klant Jacob Repko en andere betrokken partijen, heeft Kroll de gevoelige gegevens die het tijdens het claimadministratieproces heeft verzameld, niet beschermd.

De eisers stellen dat dit cybercriminelen niet alleen in staat stelde om slachtoffers te targeten met phishing-zwendel, maar ook het vertrouwen in de bredere faillissementsprocedure aantastte.

De klacht draait om Kroll's vermeende overmatige afhankelijkheid van één enkel communicatiemiddel - e-mail - als het gaat om communicatie met duizenden crypto-schuldeisers.

De rechtszaak beweert dat deze outreach-strategie alleen via e-mail een single point of failure creëerde, dat aanvallers misbruikten om zich voor te doen als partijen die betrokken waren bij de faillissementszaken van FTX, BlockFi en Genesis.

Als gevolg hiervan werden gebruikers misleid om op phishing-links te klikken, wat privé-informatie in gevaar bracht en er in sommige gevallen zelfs toe leidde dat sommige gebruikers de toegang tot hun bestaande cryptocurrencies volledig verloren.

Eisers beweren dat het verificatieproces van Kroll voor vorderingen van schuldeisers onvoldoende was beveiligd, wat ook leidde tot vertragingen en verwarring tijdens de toch al complexe fasen van de terugbetaling van het faillissement.

Ze voerden aan dat deze misstappen de integriteit van het proces in gevaar brachten en de zaken nog erger maakten voor schuldeisers die nog steeds aan het bijkomen waren van de ineenstorting van de grote cryptobedrijven in kwestie.

Het datalek van Kroll in 2023

Kroll was in augustus 2023 het slachtoffer van een datalek, maar destijds zei het bedrijf dat het om het lek alleen "niet-gevoelige" informatie ging.

Voor de schuldeisers die in de rechtszaak worden genoemd, werd de schade echter onderschat door die karakterisering.

Volgens de rechtszaak hadden aanvallers toegang tot namen, e-mailadressen en andere identificerende gegevens, waardoor ze voldoende informatie kregen om overtuigende phishing-e-mails te maken die eruitzagen als legitieme communicatie van faillissementsbeheerders of gelieerde bedrijven.

Hoewel FTX en BlockFi eerder ook hebben beweerd dat er geen wachtwoorden of interne systemen zijn gecompromitteerd, hebben verschillende schuldeisers anders gemeld.

In de afgelopen weken hebben getroffen gebruikers, waaronder de prominente FTX-schuldeiser Sunil Kavuri, een toename van gerichte oplichtings-e-mails gemeld.

Andere leden van de gemeenschap hebben ook soortgelijke ervaringen gedeeld op sociale media. Zie hieronder.

Voorlopig heeft Kroll nog niet publiekelijk gereageerd op de laatste juridische stappen, hoewel het in het verleden heeft gezegd dat de inbreuk beperkt was en dat de betrokken partijen op de hoogte waren gebracht.

Hall Attorneys, die de rechtszaak heeft aangespannen, is van mening dat in aanmerking komende deelnemers mogelijk recht hebben op een geldelijke vergoeding als de rechtbank in hun voordeel oordeelt.

Ze verwachten ook dat de rechtszaak Kroll zal dwingen zijn communicatie- en gegevensverwerkingspraktijken te herzien om verdere blootstelling te voorkomen.