Ifølge en Bloomberg-undersøgelse har Crypto.com, en af verdens største kryptovaluta-børser, angiveligt lidt et sikkerhedsbrud, som det aldrig har offentliggjort.
Rapporten koblede hændelsen til Scattered Spider, en hackergruppe, der ofte målretter virksomheder med social engineering-taktikker. Gruppen består hovedsageligt af teenagere, der specialiserer sig i at narre medarbejdere til at udlevere deres legitimationsoplysninger.
Crypto.com møder modreaktioner over påstået tilsløring af sikkerhedsbrist
Ifølge Bloomberg udgav angriberne sig for at være IT-personale og overtalte unavngivne Crypto.com-medarbejdere til at udlevere loginoplysninger. Når de først var inde, forsøgte de at eskalere deres adgang ved at målrette seniorpersonales konti.
Crypto.com fortalte Bloomberg at angrebet kun påvirkede “et meget lille antal individer” og understregede, at kundemidler forblev uberørte.
Virksomheden har endnu ikke givet yderligere oplysninger om hændelsen i øjeblikket.
Imens hævder sikkerhedseksperter, at børsens beslutning om ikke at offentliggøre bruddet underminerer tilliden til dens sikkerhedspraksis.
De hævder, at dens manglende deling af detaljer om hændelsen efterlader brugerne usikre på omfanget af eksponeringen og sårbare over for mulige opfølgende angreb.
Bekymringen er betydelig, fordi Coinbase tidligere led et lignende brud, der udsatte dets kunder for mere end 300 millioner dollars årlige tab.
On-chain-efterforsker ZachXBT anklagede Crypto.com for bevidst at dække over bruddet. Han understregede også, at det ikke var første gang, platformen var blevet forbundet med uoplyste sikkerhedsbrister.
Hans kommentarer afspejler en bredere frustration i branchen over børser, der stille nedtoner brud for at beskytte deres omdømme.
Imens har hændelsen også genoplivet kritik af branchens afhængighed af Know Your Customer (KYC) systemer.
Pseudonym sikkerhedsforsker Pcaversaccio reagerede skarpt på problemerne og hævdede, at KYC-krav skaber massive datahoney-pots for hackere.
“Du kan nemt ændre en adgangskode, men _ikke_ dit pas, og det ved de fandeme godt. Vi er i bund og grund sikkerhedsstillelsen i deres overvågningssystem,” udtalte forskeren.
Bekymringen stemmer overens med en bredere skepsis i branchen over for reguleringsrammer.
Tidligere i år kritiserede Coinbase-direktør Brian Armstrong Bank Secrecy Act og de eksisterende regler mod hvidvaskning af penge som forældede og ineffektive.
Han forklarede, at virksomheder bliver tvunget til at indsamle følsomme data mod deres vilje. Ifølge ham gør kravene lidt for at forhindre kriminalitet på trods af den byrde, de pålægger virksomheder og kunder.
“Vi ønsker ikke at indsamle det, og vores kunder hader det. Vi bliver tvunget til at indsamle det mod vores vilje. Og det er ikke engang effektivt til at stoppe kriminalitet, hvis man ser på dataene bag det,” sagde Armstrong.