Crypto.com nekter for å ha unnlatt å avsløre 2023 brukerdatalekkasje

En Bloomberg-rapport på søndag hevdet at kryptobørs Crypto.com angivelig unnlot å avsløre en sikkerhetshendelse i 2023 som involverte brukerdata.

Selskapet har imidlertid benektet anklagen og sier at det sendte inn bruddet til regulatorer og begrenset problemet i løpet av timer.

Ifølge rapporten skjedde det aktuelle datainnbruddet sannsynligvis tidlig i 2023 og ble orkestrert av medlemmer av Scattered Spider, en nettkriminell gruppe kjent for å målrette mot selskaper med sosial ingeniørtaktikk.

Et komplekst phishing-angrep

Etterforskere sier at hackerne fikk tilgang til interne Crypto.com systemer ved å utgi seg for å være IT-ansatte og lure ansatte til å overlevere legitimasjon.

Når de først var inne, skal de ha fått tilgang til sensitiv brukerinformasjon.

Angriperne, inkludert den daværende tenåringen Noah Urban, skal ha brukt stjålne personopplysninger, noen av dem innhentet via et kompromittert UPS-system, for å støtte phishing-operasjonen.

Bloombergs etterforskning knytter hendelsen til en større spree der Scattered Spider infiltrerte over 200 selskaper på tvers av forskjellige sektorer ved hjelp av lignende taktikker.

I Crypto.com tilfelle skal bruddet ha påvirket et begrenset sett med brukere, selv om det nøyaktige omfanget fortsatt er uklart på grunn av plattformens i utgangspunktet stille håndtering av saken.

Kritikere har hevdet at Crypto.com unnlatelse av å offentliggjøre bruddet på en rettidig og transparent måte kan ha satt berørte brukere i ytterligere fare.

Blokkjededetektiven ZachXBT anklaget børsen for bevisst å dekke over hendelsen og hevdet at det ikke var første gang plattformen hadde blitt knyttet til ukjente sikkerhetssvikt. Se nedenfor.

Noen bransjeobservatører stilte også spørsmål ved om børsen hadde varslet berørte brukere tilstrekkelig, og bemerket at slike hendelser kunne utsette dem for phishing, identitetstyveri eller oppfølgingsangrep.

Crypto.com bagatelliserer påstander

Som svar har Crypto.com sterkt presset tilbake mot tildekkingspåstandene.

En talsperson for selskapet sa til kryptomedier at firmaet hadde sendt inn en "Notice of Data Security-hendelse" til US Nationwide Multistate Licensing System (NMLS) og også sendt inn rapporter til de relevante regulatorene.

Crypto.com har understreket at hendelsen raskt ble identifisert og begrenset i løpet av få timer.

"Hendelsen inkluderte eksponering av begrensede PII-data som påvirket et svært lite antall individer," sa talspersonen, mens han hevdet at ingen kundemidler ble åpnet eller satt i fare.

Crypto.com administrerende direktør Kris Marszalek har også uttalt seg om Bloombergs påstander og beskrevet rapporten som basert på «uinformerte kilder».

«Jeg vil direkte og tydelig adressere noe feilinformasjon som sprer seg fra uinformerte kilder ... ethvert forslag om at vi ikke rapporterte eller avslørte en sikkerhetshendelse er helt ubegrunnet,» skrev Marszalek på X.

Sentraliserte børser under beskytning

Akkurat da støvet begynte å legge seg rundt tidligere børsbrudd, har Bloomberg-avsløringene vekket ny tvil om hvor sikre brukerdata egentlig er på sentraliserte plattformer.

Coinbase, et stort navn i det kryptobørs markedet, befant seg i sentrum av en stor datalekkasje som kompromitterte personopplysningene til over 69 000 brukere.

I motsetning til Crypto.com, var Coinbase-bruddet direkte et resultat av innsideoppførsel hos TaskUs, en tredjeparts kundestøtteleverandør den hadde ansatt.

Ifølge rettsdokumenter stjal en TaskUs-ansatt ved navn Ashita Mishra og hennes medskyldige brukerposter over flere måneder og solgte dem til hackere som senere brukte dataene til etterligningssvindel.

Ingen midler gikk tapt, men Coinbase kom under mye varme for ikke å rapportere hendelsen umiddelbart til sine kunder, noe som gjorde mange utsatt for phishing-forsøk og risiko for identitetstyveri.

Nedfallet tvang Coinbase til å kutte båndene med TaskUs, overhale støtteoperasjonene og bruke så mye som 400 millioner dollar på utbedringsarbeid.