I følge en Bloomberg-undersøkelse skal Crypto.com, en av verdens største kryptovalutabørser, ha blitt utsatt for et sikkerhetsbrudd som aldri ble offentliggjort.
Rapporten knyttet hendelsen til Scattered Spider, en hackergruppe som ofte angriper selskaper med sosialtekniske taktikker. Gruppen består hovedsakelig av tenåringer som spesialiserer seg på å lure ansatte til å gi fra seg sine legitimasjoner.
Angrepsmetoder
I følge Bloomberg utga angriperne seg for å være IT-ansatte og overtalte navngitte Crypto.com-ansatte til å gi fra seg innloggingsinformasjon. Når de først var inne, forsøkte de å eskalere tilgangen ved å sikte seg inn på kontoer til senioransatte.
Crypto.com fortalte Bloomberg at angrepet kun påvirket “et svært lite antall individer” og understreket at kundemidler forble uberørt.
Selskapet har ennå ikke gitt ytterligere informasjon om hendelsen i skrivende stund.
I mellomtiden hevder sikkerhetseksperter at børsens beslutning om ikke å offentliggjøre bruddet undergraver tilliten til deres sikkerhetspraksis.
De hevder at manglende deling av detaljer om hendelsen etterlater brukerne usikre på omfanget av eksponeringen og sårbare for mulige oppfølgingsangrep.
Dette er en betydelig bekymring fordi Coinbase tidligere opplevde et lignende brudd som utsatte deres kunder for mer enn $ 300 millioner i årlige tap.
On-chain etterforsker ZachXBT anklaget Crypto.com for bevisst å dekke over bruddet. Han understreket også at dette ikke var første gang plattformen hadde blitt knyttet til uoppgitte sikkerhetsbrudd.
Hans kommentarer gjenspeiler en bredere frustrasjon i bransjen over børser som stille nedtoner brudd for å beskytte sitt rykte.
I mellomtiden har hendelsen også gjenopplivet kritikken av bransjens avhengighet av Know Your Customer (KYC) systemer.
Pseudonym sikkerhetsforsker Pcaversaccio reagerte skarpt på problemene og hevdet at KYC-krav skaper massive datahonningkrukker for hackere.
“Du kan enkelt endre et passord, men _ikke_ passet ditt, og de vet det jævlig godt. Vi er i bunn og grunn gissel i deres overvåkningsopplegg,” uttalte forskeren .
Denne bekymringen samsvarer med en bredere skepsis i bransjen mot regulatoriske rammeverk.
Tidligere i år kritiserte Coinbase CEO Brian Armstrong Bank Secrecy Act og eksisterende regler mot hvitvasking av penger som utdaterte og ineffektive.
Han forklarte at selskaper blir tvunget til å samle inn sensitiv data mot sin vilje. Ifølge ham gjør kravene lite for å forhindre kriminalitet til tross for byrden de legger på selskaper og kunder.
“Vi ønsker ikke å samle det inn, og kundene våre hater det. Vi blir tvunget til å samle det inn mot vår vilje. Og det er ikke engang effektivt for å stoppe kriminalitet, hvis du ser på dataene bak det,” sa Armstrong .
