Secondo un’indagine di Bloomberg, Crypto.com, uno dei più grandi exchange di criptovalute al mondo, avrebbe subito una violazione della sicurezza che non ha mai divulgato.
Il rapporto ha collegato l’incidente a Scattered Spider, un gruppo di hacker che spesso prende di mira le aziende con tattiche di ingegneria sociale. Il gruppo è composto principalmente da adolescenti specializzati nel convincere i dipendenti a consegnare le loro credenziali.
SponsoredCrypto.com affronta critiche per presunto insabbiamento di una falla di sicurezza
Secondo Bloomberg, gli aggressori si sono spacciati per personale IT e hanno persuaso dipendenti non identificati di Crypto.com a cedere le credenziali di accesso. Una volta all’interno, hanno tentato di aumentare il loro accesso prendendo di mira gli account del personale senior.
Crypto.com ha detto a Bloomberg che l’attacco ha colpito solo “un numero molto piccolo di individui” e ha sottolineato che i fondi dei clienti sono rimasti intatti.
L’azienda non ha ancora fornito ulteriori informazioni sull’incidente al momento della pubblicazione.
SponsoredNel frattempo, esperti di sicurezza sostengono che la decisione dell’exchange di non divulgare la violazione mina la fiducia nelle sue pratiche di sicurezza.
Sostengono che la sua mancata condivisione dei dettagli sull’incidente lascia i suoi utenti incerti sull’entità dell’esposizione e vulnerabili a possibili attacchi successivi.
Questa preoccupazione è significativa perché Coinbase ha precedentemente subito una violazione simile che ha esposto i suoi clienti a perdite superiori a 300 milioni di dollari all’anno.
L’investigatore on-chain ZachXBT ha accusato Crypto.com di aver deliberatamente coperto la violazione. Ha anche sottolineato che non era la prima volta che la piattaforma era stata collegata a falle di sicurezza non divulgate.
I suoi commenti rispecchiano la frustrazione più ampia del settore riguardo agli exchange che minimizzano silenziosamente le violazioni per proteggere la loro reputazione.
Nel frattempo, l’incidente ha anche riacceso le critiche alla dipendenza del settore dai sistemi Know Your Customer (KYC).
Il ricercatore di sicurezza pseudonimo Pcaversaccio ha reagito duramente alle problematiche, sostenendo che i requisiti KYC creano enormi honeypot di dati per gli hacker.
“Puoi cambiare facilmente una password, ma _non_ il tuo passaporto e loro lo sanno bene. Siamo fondamentalmente il collaterale nel loro racket di sorveglianza,” ha dichiarato il ricercatore.
Questa preoccupazione si allinea con lo scetticismo più ampio del settore riguardo ai quadri normativi.
All’inizio di quest’anno, il CEO di Coinbase Brian Armstrong ha criticato il Bank Secrecy Act e le attuali norme antiriciclaggio come obsolete e inefficaci.
Ha spiegato che le aziende sono costrette a raccogliere dati sensibili contro la loro volontà. Secondo lui, i requisiti fanno poco per prevenire il crimine nonostante il peso che pongono su aziende e clienti.
“Non vogliamo raccoglierli, e i nostri clienti lo odiano. Siamo costretti a raccoglierli contro la nostra volontà. E non è nemmeno efficace nel fermare il crimine, se si guarda ai dati dietro di esso,” ha detto Armstrong.
