Crypto.com zaprzecza, że nie ujawnił wycieku danych użytkowników w 2023 roku

W niedzielnym raporcie Bloomberga stwierdzono, że giełda kryptowalut Crypto.com rzekomo nie ujawnił incydentu bezpieczeństwa z 2023 r. dotyczącego danych użytkowników.

Jednak firma zaprzeczyła oskarżeniom i twierdzi, że złożyła zawiadomienie o naruszeniu do organów regulacyjnych i opanowała problem w ciągu kilku godzin.

Według raportu, do naruszenia danych, o którym mowa, prawdopodobnie doszło na początku 2023 roku i zostało zorganizowane przez członków Scattered Spider, grupy cyberprzestępczej znanej z atakowania korporacji za pomocą taktyk socjotechnicznych.

Złożony atak phishingowy

Śledczy twierdzą, że hakerzy uzyskali dostęp do wewnętrznych systemów Crypto.com, podszywając się pod personel IT i nakłaniając pracowników do przekazania danych uwierzytelniających.

Po wejściu do środka podobno uzyskali dostęp do poufnych informacji o użytkownikach.

Atakujący, w tym nastoletni wówczas Noah Urban, rzekomo wykorzystali skradzione dane osobowe, z których część została uzyskana za pośrednictwem zhakowanego systemu UPS, aby wesprzeć swoją operację phishingową.

Śledztwo Bloomberga łączy ten incydent z większym szaleństwem, w którym Scattered Spider zinfiltrował ponad 200 firm z różnych sektorów, stosując podobne taktyki.

W przypadku Crypto.com naruszenie podobno dotknęło ograniczoną grupę użytkowników, choć dokładny zakres pozostaje niejasny ze względu na początkowo ciche traktowanie sprawy przez platformę.

Krytycy twierdzą, że brak publicznego ujawnienia naruszenia przez Crypto.com w odpowiednim czasie i w przejrzysty sposób mógł narazić dotkniętych nim użytkowników na dalsze ryzyko.

Detektyw Blockchain ZachXBT oskarżył giełdę o celowe ukrywanie incydentu i twierdził, że nie był to pierwszy raz, kiedy platforma została powiązana z nieujawnionymi lukami w zabezpieczeniach. Zobacz poniżej.

Niektórzy obserwatorzy branży kwestionowali również, czy giełda odpowiednio powiadomiła dotkniętych użytkowników, zauważając, że takie incydenty mogą narazić ich na phishing, kradzież tożsamości lub ataki następcze.

Crypto.com bagatelizuje zarzuty

W odpowiedzi Crypto.com zdecydowanie odpiera zarzuty o tuszowanie sprawy.

Rzecznik firmy powiedział mediom kryptowalutowym, że firma złożyła "Zawiadomienie o incydencie związanym z bezpieczeństwem danych" w amerykańskim Nationwide Multistate Licensing System (NMLS), a także złożyła raporty do odpowiednich organów regulacyjnych.

Crypto.com podkreślił, że incydent został szybko zidentyfikowany i opanowany w ciągu kilku godzin.

"Incydent obejmował ujawnienie ograniczonych danych osobowych dotyczących bardzo małej liczby osób" – powiedział rzecznik, twierdząc, że żadne fundusze klientów nie zostały uzyskane ani nie zostały narażone na ryzyko.

Dyrektor generalny Crypto.com, Kris Marszalek, również wypowiedział się na temat twierdzeń Bloomberga i opisał raport jako oparty na "niedoinformowanych źródłach".

"Chcę bezpośrednio i jasno odnieść się do niektórych dezinformacji rozpowszechnianych z niedoinformowanych źródeł... wszelkie sugestie, że nie zgłosiliśmy lub nie ujawniliśmy incydentu związanego z bezpieczeństwem, są całkowicie bezpodstawne" – napisał Marszałek na X.

Scentralizowane giełdy pod ostrzałem

Gdy kurz zaczynał opadać po wcześniejszych naruszeniach giełdy, rewelacje Bloomberga wzbudziły nowe wątpliwości co do tego, jak bezpieczne są dane użytkowników na scentralizowanych platformach.

Coinbase, główna nazwa na rynku giełda kryptowalut , znalazła się w centrum poważnego wycieku danych, który naraził na szwank dane osobowe ponad 69 000 użytkowników.

W przeciwieństwie do Crypto.com, naruszenie Coinbase było bezpośrednim wynikiem niewłaściwego postępowania osób mających dostęp do informacji poufnych w TaskUs, zewnętrznym dostawcy obsługi klienta, z którego korzystał.

Zgodnie z dokumentami sądowymi, pracownica TaskUs o imieniu Ashita Mishra i jej wspólnicy kradli dane użytkowników przez kilka miesięcy i sprzedawali je hakerom, którzy później wykorzystywali te dane do oszustw związanych z podszywaniem się.

Żadne środki nie zostały utracone, ale Coinbase znalazł się pod dużą krytyką za to, że nie zgłosił natychmiast incydentu swoim klientom, narażając wielu na próby phishingu i ryzyko kradzieży tożsamości.

Skutki zmusiły Coinbase do zerwania więzi z TaskUs, przeglądu operacji wsparcia i wydania aż 400 milionów dolarów na działania naprawcze.