Volgens een onderzoek van Bloomberg heeft Crypto.com, een van de grootste crypto-exchanges ter wereld, naar verluidt een beveiligingslek gehad dat nooit openbaar is gemaakt.
Het rapport linkte het incident aan Scattered Spider, een hackgroep die bekendstaat om social engineering-aanvallen. De groep bestaat vooral uit tieners die werknemers misleiden om hun inloggegevens prijs te geven.
SponsoredCrypto.com krijgt kritiek om vermeende doofpot rond beveiligingslek
Volgens Bloomberg deden de aanvallers zich voor als IT-medewerkers en wisten ze enkele werknemers van Crypto.com te overtuigen hun inloggegevens af te staan. Eenmaal binnen probeerden ze hun toegang uit te breiden door zich te richten op accounts van leidinggevend personeel.
Crypto.com vertelde Bloomberg dat de aanval slechts “een zeer klein aantal individuen” trof en benadrukte dat klantengelden onaangetast bleven.
Het bedrijf heeft tot op het moment van schrijven nog geen aanvullende informatie over het incident verstrekt.
Beveiligingsexperts waarschuwen dat de keuze van de exchange om het lek niet openbaar te maken, het vertrouwen in haar beveiligingspraktijken ernstig ondermijnt.
Ze stellen dat het niet delen van details over het incident gebruikers onzeker laat over de omvang van de blootstelling en kwetsbaar voor mogelijke vervolgaanvallen.
Deze zorg is significant omdat Coinbase eerder een soortgelijk lek had dat zijn klanten blootstelde aan meer dan $300 miljoen jaarlijkse verliezen.
On-chain onderzoeker ZachXBT beschuldigde Crypto.com ervan het lek opzettelijk te verdoezelen. Hij benadrukte ook dat dit niet de eerste keer was dat het platform werd gelinkt aan niet bekendgemaakte beveiligingsproblemen.
Zijn opmerkingen weerspiegelen bredere frustratie in de industrie over exchanges die stilletjes lekken bagatelliseren om hun reputatie te beschermen.
Ondertussen heeft het incident ook kritiek doen oplaaien op de afhankelijkheid van de industrie van Know Your Customer (KYC) systemen.
De pseudonieme beveiligingsonderzoeker Pcaversaccio reageerde fel en stelde dat KYC-vereisten enorme datavallen voor hackers vormen.
Sponsored“Een wachtwoord kun je eenvoudig veranderen, maar je paspoort niet — en dat weten ze verdomd goed. In feite zijn wij het onderpand in hun surveillancenetwerk,” aldus de onderzoeker.
Deze zorg sluit aan bij bredere kritiek in de industrie over regelgevende kaders.
Eerder dit jaar bekritiseerde Coinbase CEO Brian Armstrong de Bank Secrecy Act en de bestaande anti-witwasregels als verouderd en ineffectief.
Hij benadrukte dat bedrijven verplicht worden gevoelige gegevens te verzamelen, ondanks dat ze dat zelf niet willen. Volgens hem dragen de vereisten weinig bij aan het voorkomen van criminaliteit, terwijl ze wel een zware last leggen op zowel bedrijven als klanten.
“We willen het niet verzamelen, en onze klanten haten het. We worden gedwongen het tegen onze wil te doen. En het is niet eens effectief in het stoppen van criminaliteit, als je naar de data kijkt,” zei Armstrong.
Voor BeInCrypto’s laatste nieuws over de cryptomarkt, klik hier.
