Kraken celem wymuszenia — 2 000 kont dotkniętych, brak naruszenia

Kraken znalazł się w centrum próby wymuszenia, jednak giełda kryptowalut zapewnia, że nie doszło do naruszenia jej systemów i że środki klientów nie są zagrożone.

Sytuacja, choć poważna, zdaje się wynikać z niewłaściwego wykorzystania uprawnień wewnętrznych, a nie z zewnętrznego cyberataku.

Firma ujawniła, że grupa przestępcza niedawno próbowała wywierać presję, by zmusić ją do zapłacenia okupu.

W zamian napastnicy twierdzili, że wstrzymają publikację wrażliwych materiałów, w tym nagrań wewnętrznych oraz ograniczonych danych użytkowników.

Kraken odmówił współpracy z grupą przestępczą.

Dostęp wewnętrzny w centrum incydentu

Według dyrektora ds. bezpieczeństwa Kraken, Nicka Percoco, źródłem problemu były wewnętrzne systemy wsparcia, które zostały wykorzystane przez niewielką liczbę osób.

Systemy te są przeznaczone do pomagania zespołom obsługi klienta w rozwiązywaniu problemów użytkowników.

Choć zawierają pewne informacje powiązane z kontami, są one znacznie odseparowane od rdzenia infrastruktury giełdy.

Ta rozróżnienie ma znaczenie, ponieważ wyjaśnia, dlaczego incydent został opanowany i nie przerodził się w szeroko zakrojony błąd bezpieczeństwa.

Nadużycie wykryto po tym, jak w sieci zaczęły krążyć podejrzane materiały, w tym nagrania wyglądające na prezentujące dostęp do narzędzi wewnętrznych.

Gdy sprawę zidentyfikowano, Kraken działał szybko. Dostępy zostały cofnięte, zaangażowane osoby usunięto, a wszczęto wewnętrzne śledztwo.

Dalej obserwowano dobrze znany wzorzec w cyberprzestępczości. Po utracie dostępu sprawcy zmienili taktykę. Zamiast dalej eksploatować systemy, próbowali wykorzystać już pozyskane materiały jako dźwignię.

Próba wymuszenia po szybkiej reakcji

Po odcięciu dostępu napastnicy przeszli do wymuszania okupu. Twierdzili, że posiadają nagrania wewnętrzne i fragmenty danych użytkowników, grożąc ich ujawnieniem, jeśli nie zostanie dokonana płatność.

Reakcja Kraken była zdecydowana. Firma odmówiła zapłaty i zgłosiła sprawę organom ścigania. Zaczęła też współpracować z partnerami w różnych jurysdykcjach, aby namierzyć sprawców.

Giełda podkreśliła, że zgromadziła wystarczające informacje, by wspierać dochodzenia i ewentualne zatrzymania.

Chociaż próby wymuszeń nie są rzadkością w przestrzeni cyfrowej, ten przypadek wyróżnia sposób, w jaki przebiegł. Napastnicy nie sforsowali systemu metodami technicznymi. Zamiast tego polegali na punktach dostępu opartych na ludziach — podejściu, które staje się coraz częstsze.

Ograniczony wpływ, brak ryzyka dla środków

Mimo nagłówków, ogólny wpływ wydaje się ograniczony.

Kraken zgłosił, że około 2 000 kont mogło zostać potencjalnie dotkniętych, co stanowi bardzo mały ułamek jego bazy użytkowników.

Dane obejmowały wyłącznie interakcje z działem obsługi klienta.

Nie ma przesłanek, by sądzić, że ujawniono wrażliwe dane finansowe, klucze prywatne lub systemy handlowe.

Co najważniejsze, środki klientów pozostały bezpieczne przez cały czas trwania incydentu.

Użytkownicy, których sprawa dotyczyła, zostali poinformowani, a wprowadzono dodatkowe zabezpieczenia.

Kraken przejrzał także swoje wewnętrzne procedury kontrolne, aby zmniejszyć prawdopodobieństwo podobnych zdarzeń w przyszłości.