Secondo alcune segnalazioni, soggetti malintenzionati starebbero vendendo l’accesso in sola lettura al pannello di amministrazione interno di Kraken su un forum nel dark web.
L’incidente solleva preoccupazioni riguardo alla possibile esposizione dei dati degli utenti e al rischio di attacchi di phishing mirati.
SponsoredPannello di amministrazione in vendita, le affermazioni del dark web mettono in dubbio la sicurezza di Kraken
Secondo Dark Web Informer, il listing pubblicizza la possibilità di visualizzare profili utente, cronologie delle transazioni e documenti KYC completi. Questi comprendono documenti d’identità, selfie, prove di residenza e informazioni sulla provenienza dei fondi.
Il venditore sostiene che l’accesso può durare da uno a due mesi, è protetto da proxy senza restrizioni sugli IP e include la possibilità di generare ticket di supporto.
Il listing ha sollevato preoccupazioni immediate tra i professionisti della sicurezza, anche se alcuni utenti online rimangono scettici.
“Quasi certamente falso”, ha commentato un utente, sottolineando l’incertezza sull’autenticità di questo accesso.
Altri avvertono che, se fosse reale, l’esposizione dei dati potrebbe mettere a grave rischio i clienti di Kraken, invitando l’exchange e le forze dell’ordine a intervenire con urgenza.
Sponsored Sponsored“Se fosse vero, sarebbe un grave rischio di esposizione dati e phishing per i clienti di Kraken. I team di sicurezza e le forze dell’ordine di Kraken dovrebbero occuparsene immediatamente”, ha aggiunto un altro utente.
Infatti, questa funzionalità potrebbe essere sfruttata per attacchi di social engineering estremamente convincenti. Kraken non ha risposto immediatamente alla richiesta di commento da parte di BeInCrypto.
L’accesso in sola lettura non è innocuo, CIFER rivela i rischi di esposizione del pannello di Kraken
CIFER Security sottolinea che anche l’accesso in sola lettura può avere conseguenze serie. Anche se gli attaccanti non possono modificare direttamente gli account, potrebbero sfruttare la funzionalità dei ticket di supporto per:
- Spacciarsi per membri dello staff di Kraken,
- Fare riferimento a dettagli reali delle transazioni per guadagnare fiducia, e
- Prendere di mira utenti di alto valore identificati tramite la cronologia delle transazioni.
L’accesso completo a pattern di trading, indirizzi wallet e comportamenti di deposito o prelievo fornisce ai malintenzionati le informazioni per avviare attacchi di phishing, SIM swap e credential stuffing, ampliando così la minaccia oltre la sola esposizione degli account.
L’attacco ai pannelli di amministrazione non è una novità nel settore crypto. Exchange come Mt. Gox (2014), Binance (2019), KuCoin (2020), Crypto.com (2022) e FTX (2022) sono stati tutti presi di mira da attacchi contro i sistemi interni. Ciò evidenzia come strumenti centralizzati con privilegi elevati restino bersagli privilegiati.
L’esposizione riportata di Kraken si inserisce in questo schema più ampio, evidenziando la sfida costante di garantire la sicurezza degli accessi privilegiati nel settore dei servizi finanziari.
Cosa dovrebbero fare gli utenti di Kraken?
CIFER Security raccomanda di considerare una possibile esposizione e adottare immediatamente misure protettive. Queste includono:
- Attivazione dell’autenticazione tramite chiave hardware,
- Attivazione dei blocchi globali nelle impostazioni,
- Inserimento in whitelist degli indirizzi di prelievo, e
- Massima cautela nelle risposte alle comunicazioni di supporto.
Gli utenti dovrebbero anche monitorare possibili segnali di attacchi SIM swap, richieste di reset password sospette e altre minacce mirate, valutando di trasferire fondi significativi su hardware wallet o su nuovi indirizzi non presenti in eventuali storici delle transazioni trapelati.
L’episodio evidenzia i rischi insiti nella custodia centralizzata: gli exchange, per loro natura, concentrano dati sensibili dei clienti all’interno dei pannelli admin, creando così punti di vulnerabilità unici.
Come CIFER spiega in dettaglio, architetture più sicure si basano su accesso basato sui ruoli, permessi just-in-time, mascheramento dei dati, registrazione delle sessioni e privilegi temporanei, per ridurre il potenziale danno in caso di compromissione.
Kraken, se le notizie fossero confermate, dovrebbe identificare urgentemente la fonte di questo accesso, che potrebbe derivare da credenziali compromesse, azioni interne, fornitori terzi o sessioni hijackate.
Ancora una volta, se fosse vero, le precauzioni possibili includono la rotazione di tutte le credenziali admin, l’audit dei log di accesso e una comunicazione trasparente con gli utenti.
Una risposta rapida e trasparente può aiutare a mantenere la fiducia in un contesto in cui i rischi centralizzati si scontrano con la promessa decentralizzata delle criptovalute.
