Crypto.com förnekar att han inte avslöjat 2023 års läcka av användardata

En Bloomberg-rapport på söndagen hävdade att kryptobörs Crypto.com påstås ha underlåtit att avslöja en säkerhetsincident från 2023 som involverade användardata.

Företaget har dock förnekat anklagelsen och säger att det lämnade in intrånget till tillsynsmyndigheterna och begränsade problemet inom några timmar.

Enligt rapporten inträffade dataintrånget i fråga sannolikt i början av 2023 och orkestrerades av medlemmar i Scattered Spider, en cyberkriminell grupp som är känd för att rikta in sig på företag med social ingenjörstaktik.

En komplex nätfiskeattack

Utredarna säger att hackarna fick tillgång till interna Crypto.com system genom att utge sig för att vara IT-personal och lura anställda att lämna ut inloggningsuppgifter.

Väl inne ska de ha fått tillgång till känslig användarinformation.

Angriparna, inklusive den då tonåringen Noah Urban, påstås ha använt stulna personuppgifter, en del av dem som erhållits via ett komprometterat UPS-system, för att stödja sin phishing-operation.

Bloombergs utredning kopplar händelsen till en större våg där Scattered Spider infiltrerade över 200 företag inom olika sektorer med liknande taktik.

I Crypto.com:s fall ska intrånget ha påverkat en begränsad uppsättning användare, även om den exakta omfattningen fortfarande är oklar på grund av plattformens initialt tysta hantering av ärendet.

Kritiker har hävdat att Crypto.com:s underlåtenhet att offentliggöra intrånget på ett snabbt och transparent sätt kan ha utsatt drabbade användare för ytterligare risker.

Blockchain-detektiven ZachXBT anklagade börsen för att medvetet dölja incidenten och hävdade att det inte var första gången plattformen hade kopplats till dolda säkerhetsbrister. Se nedan.

Vissa branschobservatörer ifrågasatte också om börsen hade meddelat berörda användare på ett adekvat sätt och noterade att sådana incidenter kan utsätta dem för nätfiske, identitetsstöld eller uppföljningsattacker.

Crypto.com tonar ner anklagelserna

Som svar på detta har Crypto.com starkt slagit tillbaka mot anklagelserna om mörkläggning.

En talesperson för företaget berättade för kryptomedia att företaget hade lämnat in en "anmälan om datasäkerhetsincident" till USA:s Nationwide Multistate Licensing System (NMLS) och även lämnat in rapporter till relevanta tillsynsmyndigheter.

Crypto.com har betonat att incidenten snabbt identifierades och begränsades inom några timmar.

"Incidenten inkluderade exponering av begränsade PII-data som påverkade ett mycket litet antal individer", sa talespersonen, samtidigt som han hävdade att inga kundmedel hade nåtts eller riskerats.

Crypto.com vd Kris Marszalek har också uttalat sig om Bloombergs påståenden och beskrivit rapporten som baserad på "oinformerade källor".

"Jag vill direkt och tydligt ta itu med en del felaktig information som sprids från oinformerade källor... varje antydan om att vi inte rapporterade eller avslöjade en säkerhetsincident är helt ogrundad", skrev Marszalek på X.

Centraliserade börser i skottgluggen

Precis när dammet började lägga sig kring tidigare börsintrång har Bloombergs avslöjanden väckt nya tvivel om hur säker användardata verkligen är på centraliserade plattformar.

Coinbase, ett stort namn på den kryptobörs marknaden, befann sig i centrum för en stor dataläcka som äventyrade personlig information för över 69 000 användare.

Till skillnad från Crypto.com var Coinbase-intrånget ett direkt resultat av insiderfel hos TaskUs, en tredjepartsleverantör av kundsupport som de hade anställt.

Enligt domstolshandlingar stal en TaskUs-anställd vid namn Ashita Mishra och hennes medbrottslingar användarregister under flera månader och sålde dem till hackare som senare använde uppgifterna för bedrägerier med imitation.

Inga pengar gick förlorade, men Coinbase fick mycket kritik för att de inte snabbt rapporterade händelsen till sina kunder, vilket gjorde att många utsattes för nätfiskeförsök och risk för identitetsstöld.

Nedfallet tvingade Coinbase att bryta banden med TaskUs, se över sin supportverksamhet och spendera så mycket som 400 miljoner dollar på saneringsinsatser.