Ayon sa isang imbestigasyon ng Bloomberg, ang Crypto.com, isa sa pinakamalaking cryptocurrency exchanges sa mundo, ay nagkaroon umano ng security breach na hindi nila isiniwalat.
Iniuugnay ng report ang insidente sa Scattered Spider, isang hacking group na madalas gumagamit ng social engineering tactics para i-target ang mga kumpanya. Karamihan sa grupo ay mga teenager na eksperto sa panloloko sa mga empleyado para makuha ang kanilang credentials.
Crypto.com Binabatikos Dahil sa ‘Di Umano’y Pagtakip ng Security Lapse
Ayon sa Bloomberg, nagkunwari ang mga attacker na IT staff at nahikayat ang ilang empleyado ng Crypto.com na ibigay ang kanilang login credentials. Pagkapasok, sinubukan nilang palawakin ang access sa pamamagitan ng pag-target sa mga account ng senior staff.
Sinabi ng Crypto.com sa Bloomberg na ang atake ay nakaapekto lamang sa “napakaliit na bilang ng mga indibidwal” at binigyang-diin na ang pondo ng mga customer ay nanatiling hindi nagalaw.
Wala pang karagdagang impormasyon ang ibinibigay ng kumpanya tungkol sa insidente sa ngayon.
Samantala, sinasabi ng mga security expert na ang desisyon ng exchange na hindi isiwalat ang breach ay nagpapababa ng tiwala sa kanilang security practices.
Sinasabi nila na ang hindi pagbabahagi ng detalye tungkol sa insidente ay nag-iiwan sa mga user nito na walang kasiguraduhan tungkol sa lawak ng exposure at vulnerable sa posibleng mga susunod na atake.
Mahalaga ang concern na ito dahil ang Coinbase ay dati nang nagkaroon ng katulad na breach na nag-expose sa kanilang mga customer sa mahigit $300 milyon na taunang pagkalugi.
Inakusahan ng on-chain investigator na si ZachXBT ang Crypto.com ng sadyang pagtatakip sa breach. Binigyang-diin din niya na hindi ito ang unang beses na ang platform ay na-link sa mga hindi isiniwalat na security lapses.
Ang kanyang mga komento ay sumasalamin sa mas malawak na pagkadismaya ng industriya tungkol sa mga exchanges na tahimik na minamaliit ang mga breach para protektahan ang kanilang reputasyon.
Samantala, muling binuhay ng insidente ang kritisismo sa pag-asa ng industriya sa Know Your Customer (KYC) systems.
Matinding nag-react ang pseudonymous security researcher na si Pcaversaccio sa mga isyu, sinasabing ang KYC requirements ay lumilikha ng malalaking data honeypots para sa mga hacker.
“Madaling palitan ang password, pero _hindi_ ang passport at alam na alam nila ito. Basically, tayo ang collateral sa kanilang surveillance racket,” ayon sa researcher sa kanyang pahayag.
Ang concern na ito ay umaayon sa mas malawak na pagdududa ng industriya tungkol sa mga regulatory frameworks.
Ngayong taon, kinritiko ni Coinbase CEO Brian Armstrong ang Bank Secrecy Act at ang kasalukuyang anti-money laundering rules bilang luma na at hindi epektibo.
Ipinaliwanag niya na ang mga kumpanya ay pinipilit na mangolekta ng sensitibong data laban sa kanilang kagustuhan. Ayon sa kanya, kaunti lang ang naitutulong ng mga requirements na ito sa pag-iwas sa krimen sa kabila ng pasanin na dinadala nito sa mga kumpanya at customer.
“Ayaw naming kolektahin ito, at ayaw rin ito ng aming mga customer. Pinipilit kaming kolektahin ito laban sa aming kagustuhan. At hindi rin ito epektibo sa pagpigil ng krimen, kung titingnan mo ang data sa likod nito,” ayon kay Armstrong sa kanyang pahayag.
