Crypto.com nega não divulgar vazamento de dados de usuários em 2023

Um relatório da Bloomberg no domingo afirmou que exchange criptomoedas Crypto.com supostamente não divulgou um incidente de segurança de 2023 envolvendo dados de usuários.

No entanto, a empresa negou a acusação e diz que apresentou a violação aos reguladores e conteve o problema em poucas horas.

De acordo com o relatório, a violação de dados em questão provavelmente ocorreu no início de 2023 e foi orquestrada por membros do Scattered Spider, um grupo cibercriminoso conhecido por atacar corporações com táticas de engenharia social.

Um ataque de phishing complexo

Os investigadores dizem que os hackers obtiveram acesso a sistemas internos de Crypto.com se passando por funcionários de TI e enganando os funcionários para que entregassem credenciais.

Uma vez lá dentro, eles teriam acessado informações confidenciais do usuário.

Os invasores, incluindo o então adolescente Noah Urban, supostamente usaram dados pessoais roubados, alguns deles obtidos por meio de um sistema UPS comprometido, para apoiar sua operação de phishing.

A investigação da Bloomberg vincula o incidente a uma onda maior na qual a Scattered Spider se infiltrou em mais de 200 empresas em diferentes setores usando táticas semelhantes.

No caso de Crypto.com, a violação afetou um conjunto limitado de usuários, embora o escopo exato permaneça incerto devido ao tratamento inicialmente silencioso do assunto pela plataforma.

Os críticos argumentaram que a falha da Crypto.com em divulgar publicamente a violação de maneira oportuna e transparente pode ter colocado os usuários afetados em maior risco.

O detetive de blockchain ZachXBT acusou a exchange de encobrir deliberadamente o incidente e afirmou que não foi a primeira vez que a plataforma foi vinculada a lapsos de segurança não revelados. Veja abaixo.

Alguns observadores do setor também questionaram se a exchange havia notificado adequadamente os usuários afetados, observando que tais incidentes poderiam expô-los a phishing, roubo de identidade ou ataques de acompanhamento.

Crypto.com minimiza as alegações

Em resposta, a Crypto.com reagiu fortemente contra as alegações de encobrimento.

Um porta-voz da empresa disse à mídia cripto que a empresa havia apresentado um "Aviso de incidente de segurança de dados" no Sistema Nacional de Licenciamento Multiestadual dos EUA (NMLS) e também enviou relatórios aos reguladores relevantes.

Crypto.com enfatizou que o incidente foi rapidamente identificado e contido em poucas horas.

"O incidente incluiu a exposição de dados PII limitados que afetam um número muito pequeno de indivíduos", disse o porta-voz, alegando que nenhum fundo de cliente foi acessado ou colocado em risco.

O CEO da Crypto.com, Kris Marszalek, também se manifestou sobre as alegações da Bloomberg e descreveu o relatório como baseado em "fontes desinformadas".

"Quero abordar direta e claramente algumas informações erradas que se espalham de fontes desinformadas... qualquer sugestão de que não relatamos ou divulgamos um incidente de segurança é completamente infundada", escreveu Marszalek no X.

Exchanges centralizadas sob fogo

Assim como a poeira estava começando a baixar em torno de violações de exchanges anteriores, as revelações da Bloomberg levantaram novas dúvidas sobre o quão seguros os dados do usuário realmente estão em plataformas centralizadas.

A Coinbase, um grande nome no mercado exchange criptomoedas , se viu no centro de um grande vazamento de dados que comprometeu as informações pessoais de mais de 69.000 usuários.

Ao contrário de Crypto.com, a violação da Coinbase foi diretamente o resultado de má conduta interna na TaskUs, um fornecedor terceirizado de suporte ao cliente que havia empregado.

De acordo com documentos judiciais, uma funcionária da TaskUs chamada Ashita Mishra e seus cúmplices roubaram registros de usuários por vários meses e os venderam a hackers que mais tarde usaram os dados para golpes de falsificação de identidade.

Nenhum fundo foi perdido, mas a Coinbase foi muito criticada por não relatar prontamente o incidente a seus clientes, deixando muitos expostos a tentativas de phishing e riscos de roubo de identidade.

As consequências forçaram a Coinbase a cortar laços com a TaskUs, revisar suas operações de suporte e gastar até US$ 400 milhões em esforços de remediação.