Crypto.com, 2023 kullanıcı veri sızıntısını açıklamadığını reddediyor

Pazar günü Bloomberg'de yayınlanan bir raporda, kripto borsası Crypto.com'nin kullanıcı verilerini içeren 2023 güvenlik olayını açıklamadığı iddia edildi.

Ancak şirket suçlamayı reddetti ve ihlali düzenleyicilere sunduğunu ve sorunu birkaç saat içinde kontrol altına aldığını söyledi.

Rapora göre, söz konusu veri ihlali muhtemelen 2023'ün başlarında meydana geldi ve sosyal mühendislik taktikleriyle şirketleri hedef almasıyla bilinen bir siber suç grubu olan Scattered Spider'ın üyeleri tarafından düzenlendi. 

Karmaşık bir kimlik avı saldırısı

Müfettişler, bilgisayar korsanlarının BT personelinin kimliğine bürünerek ve çalışanları kimlik bilgilerini vermeleri için kandırarak dahili Crypto.com sistemlerine erişim sağladığını söylüyor.

İçeri girdikten sonra hassas kullanıcı bilgilerine eriştikleri bildirildi.

Aralarında o zamanlar genç olan Noah Urban'ın da bulunduğu saldırganların, kimlik avı operasyonlarını desteklemek için bir kısmı güvenliği ihlal edilmiş bir UPS sistemi aracılığıyla elde edilen çalıntı kişisel verileri kullandıkları iddia ediliyor. 

Bloomberg'in soruşturması, olayı Scattered Spider'ın benzer taktikler kullanarak farklı sektörlerdeki 200'den fazla şirkete sızdığı daha büyük bir çılgınlığa bağlıyor. 

Crypto.com davasında, ihlalin sınırlı sayıda kullanıcıyı etkilediği bildirildi, ancak platformun konuyu başlangıçta sessiz bir şekilde ele alması nedeniyle kesin kapsam belirsizliğini koruyor.

Eleştirmenler, Crypto.com'in ihlali zamanında ve şeffaf bir şekilde kamuya açıklamamasının, etkilenen kullanıcıları daha fazla risk altına sokmuş olabileceğini savundu. 

Blockchain dedektifi ZachXBT, borsayı olayı kasıtlı olarak örtbas etmekle suçladı ve platformun açıklanmayan güvenlik açıklarıyla ilk kez ilişkilendirilmediğini iddia etti. Aşağıya bakınız.

Bazı sektör gözlemcileri, borsanın etkilenen kullanıcıları yeterince bilgilendirip bilgilendirmediğini de sorguladı ve bu tür olayların onları kimlik avı, kimlik hırsızlığı veya takip saldırılarına maruz bırakabileceğini belirtti.

Crypto.com iddiaları küçümsüyor

Buna yanıt olarak Crypto.com, örtbas iddialarına şiddetle karşı çıktı. 

Bir şirket sözcüsü kripto medyasına yaptığı açıklamada , firmanın ABD Ulusal Çok Eyaletli Lisanslama Sistemi'ne (NMLS) bir "Veri Güvenliği olayı bildirimi" sunduğunu ve ayrıca ilgili düzenleyicilere raporlar sunduğunu söyledi. 

Crypto.com, olayın hızlı bir şekilde tespit edildiğini ve birkaç saat içinde kontrol altına alındığını vurguladı.

Sözcü, "Olay, çok az sayıda kişiyi etkileyen sınırlı PII verilerinin açığa çıkmasını içeriyordu" dedi ve hiçbir müşteri fonuna erişilmediğini veya riske atılmadığını iddia etti.

Crypto.com CEO'su Kris Marszalek de Bloomberg'in iddiaları hakkında konuştu ve raporun "bilgisiz kaynaklara" dayandığını söyledi.

Marszalek, X'te "Bilgisiz kaynaklardan yayılan bazı yanlış bilgilere doğrudan ve net bir şekilde değinmek istiyorum....bir güvenlik olayını bildirmediğimiz veya ifşa etmediğimize dair herhangi bir öneri tamamen asılsızdır" diye yazdı .

Merkezi borsalar ateş altında

Geçmişteki borsa ihlallerinin tozu dumanı dağılmaya başlarken, Bloomberg'in ifşaatları, kullanıcı verilerinin merkezi platformlarda gerçekte ne kadar güvenli olduğu konusunda yeni şüpheler uyandırdı.

Kripto borsası piyasasının önemli isimlerinden Coinbase, kendisini 69.000'den fazla kullanıcının kişisel bilgilerini tehlikeye atan büyük bir veri sızıntısının merkezinde buldu. 

Crypto.com'den farklı olarak Coinbase ihlali, doğrudan istihdam ettiği üçüncü taraf bir müşteri destek sağlayıcısı olan TaskUs'taki içeriden gelen suistimallerin sonucuydu.

Mahkeme dosyalarına göre, Ashita Mishra adlı bir TaskUs çalışanı ve suç ortakları birkaç ay boyunca kullanıcı kayıtlarını çaldı ve bunları daha sonra verileri kimliğe bürünme dolandırıcılığı için kullanan bilgisayar korsanlarına sattı.

Hiçbir fon kaybı yaşanmadı ancak Coinbase, olayı müşterilerine derhal bildirmediği için büyük eleştirilere maruz kaldı ve birçok kişiyi kimlik avı girişimlerine ve kimlik hırsızlığı risklerine maruz bıraktı.

Serpinti, Coinbase'i TaskUs ile bağlarını koparmaya, destek operasyonlarını elden geçirmeye ve iyileştirme çabalarına 400 milyon dolar kadar harcamaya zorladı.