Crypto.com ontkent dat hij het lek van gebruikersgegevens in 2023 niet heeft bekendgemaakt

Een Bloomberg-rapport op zondag beweerde dat crypto exchange Crypto.com naar verluidt een beveiligingsincident in 2023 met gebruikersgegevens niet openbaar hebben gemaakt.

Het bedrijf heeft de beschuldiging echter ontkend en zegt dat het de inbreuk bij toezichthouders heeft ingediend en het probleem binnen enkele uren heeft ingeperkt.

Volgens het rapport vond het datalek in kwestie waarschijnlijk begin 2023 plaats en werd het georkestreerd door leden van Scattered Spider, een cybercriminele groep die erom bekend staat zich te richten op bedrijven met social engineering-tactieken.

Een complexe phishing-aanval

Onderzoekers zeggen dat de hackers toegang hebben gekregen tot interne Crypto.com systemen door zich voor te doen als IT-personeel en werknemers te misleiden om inloggegevens te overhandigen.

Eenmaal binnen hadden ze naar verluidt toegang tot gevoelige gebruikersinformatie.

De aanvallers, waaronder de toenmalige tiener Noah Urban, zouden gestolen persoonlijke gegevens hebben gebruikt, waarvan een deel was verkregen via een gecompromitteerd UPS-systeem, om hun phishing-operatie te ondersteunen.

Het onderzoek van Bloomberg koppelt het incident aan een grotere golf waarin Scattered Spider meer dan 200 bedrijven in verschillende sectoren infiltreerde met behulp van vergelijkbare tactieken.

In het geval van Crypto.com had de inbreuk naar verluidt gevolgen voor een beperkt aantal gebruikers, hoewel de exacte reikwijdte onduidelijk blijft vanwege de aanvankelijk stille afhandeling van de zaak door het platform.

Critici hebben betoogd dat het feit dat Crypto.com de inbreuk niet tijdig en transparant openbaar heeft gemaakt, de getroffen gebruikers mogelijk nog meer in gevaar heeft gebracht.

Blockchain-speurder ZachXBT beschuldigde de beurs van het opzettelijk verdoezelen van het incident en beweerde dat het niet de eerste keer was dat het platform in verband werd gebracht met niet-bekendgemaakte beveiligingslekken. Zie hieronder.

Sommige waarnemers uit de sector vroegen zich ook af of de beurs de getroffen gebruikers adequaat op de hoogte had gebracht, en merkten op dat dergelijke incidenten hen zouden kunnen blootstellen aan phishing, identiteitsdiefstal of vervolgaanvallen.

Crypto.com bagatelliseert beschuldigingen

Als reactie hierop heeft Crypto.com zich sterk verzet tegen de doofpotclaims.

Een woordvoerder van het bedrijf vertelde cryptomedia dat het bedrijf een "Notice of Data Security Incident" had ingediend bij het Amerikaanse Nationwide Multistate Licensing System (NMLS) en ook rapporten had ingediend bij de relevante toezichthouders.

Crypto.com heeft benadrukt dat het incident snel werd geïdentificeerd en binnen een paar uur werd ingeperkt.

"Het incident omvatte de blootstelling van beperkte PII-gegevens die een zeer klein aantal personen troffen", zei de woordvoerder, terwijl hij beweerde dat er geen geld van klanten werd geopend of in gevaar werd gebracht.

Crypto.com CEO Kris Marszalek heeft zich ook uitgesproken over de beweringen van Bloomberg en beschreef het rapport als gebaseerd op "niet-geïnformeerde bronnen".

"Ik wil direct en duidelijk ingaan op verkeerde informatie die wordt verspreid door ongeïnformeerde bronnen ... elke suggestie dat we een beveiligingsincident niet hebben gemeld of bekendgemaakt, is volledig ongegrond", schreef Marszalek op X.

Gecentraliseerde beurzen onder vuur

Net toen het stof begon neer te dalen rond eerdere inbreuken op beurzen, hebben de onthullingen van Bloomberg nieuwe twijfels doen rijzen over hoe veilig gebruikersgegevens werkelijk zijn op gecentraliseerde platforms.

Coinbase, een grote naam in de crypto exchange markt, bevond zich in het middelpunt van een groot datalek dat de persoonlijke informatie van meer dan 69.000 gebruikers in gevaar bracht.

In tegenstelling tot Crypto.com was de inbreuk op Coinbase direct het gevolg van wangedrag van binnenuit bij TaskUs, een externe leverancier van klantenondersteuning die het in dienst had genomen.

Volgens gerechtelijke documenten hebben een TaskUs-medewerker genaamd Ashita Mishra en haar handlangers gedurende enkele maanden gebruikersgegevens gestolen en deze verkocht aan hackers die de gegevens later gebruikten voor imitatiezwendel.

Er ging geen geld verloren, maar Coinbase kwam onder grote druk te liggen omdat het het incident niet onmiddellijk aan zijn klanten had gemeld, waardoor velen werden blootgesteld aan phishing-pogingen en risico's van identiteitsdiefstal.

De gevolgen dwongen Coinbase om de banden met TaskUs te verbreken, zijn ondersteuningsactiviteiten te herzien en maar liefst $ 400 miljoen uit te geven aan herstelinspanningen.