Selon une enquête de Bloomberg, Crypto.com, l'une des plus grandes plateformes d'échange de crypto-monnaies au monde, aurait subi une violation de sécurité qu'elle n'a jamais divulguée.
Le rapport a lié l'incident à Scattered Spider, un groupe de pirates informatiques qui cible souvent des entreprises avec des tactiques d'ingénierie sociale. Le groupe est principalement composé d'adolescents qui se spécialisent dans la manipulation d'employés pour obtenir leurs identifiants.
Sponsorisé
Sponsorisé
Selon Bloomberg, les attaquants se sont fait passer pour du personnel informatique et ont persuadé des employés non identifiés de Crypto.com de céder leurs identifiants de connexion. Une fois à l'intérieur, ils ont tenté d'augmenter leur accès en ciblant les comptes du personnel senior.
Crypto.com a déclaré à Bloomberg que l'attaque n'a affecté qu'"un très petit nombre d'individus" et a souligné que les fonds des clients sont restés intacts.
L'entreprise n'a pas encore fourni d'informations supplémentaires sur l'incident au moment de la publication.
Pendant ce temps, les experts en sécurité soutiennent que la décision de la plateforme de ne pas divulguer la violation mine la confiance dans ses pratiques de sécurité.
Ils affirment que son incapacité à partager des détails sur l'incident laisse ses utilisateurs incertains quant à l'étendue de l'exposition et vulnérables à d'éventuelles attaques ultérieures.
Cette préoccupation est significative car Coinbase a précédemment subi une violation similaire qui a exposé ses clients à des pertes annuelles de plus de 300 millions de dollars.
L'enquêteur on-chain ZachXBT a accusé Crypto.com d'avoir délibérément dissimulé la violation. Il a également souligné que ce n'était pas la première fois que la plateforme était liée à des failles de sécurité non divulguées.
Sponsorisé
Sponsorisé
Ses commentaires font écho à une frustration plus large de l'industrie concernant les plateformes d'échange qui minimisent discrètement les violations pour protéger leur réputation.
Pendant ce temps, l'incident a également ravivé les critiques sur la dépendance de l'industrie aux systèmes Know Your Customer (KYC).
Le chercheur en sécurité pseudonyme Pcaversaccio a réagi vivement aux problèmes, affirmant que les exigences KYC créent d'énormes pots de miel de données pour les pirates informatiques.
Cette préoccupation s'aligne avec un scepticisme plus large de l'industrie concernant les cadres réglementaires.
Plus tôt cette année, le PDG de Coinbase, Brian Armstrong, a critiqué la loi sur le secret bancaire et les règles existantes contre le blanchiment d'argent comme étant obsolètes et inefficaces.
Il a expliqué que les entreprises sont forcées de collecter des données sensibles contre leur gré. Selon lui, ces exigences font peu pour prévenir la criminalité malgré la charge qu'elles imposent aux entreprises et aux clients.
Source: https://beincrypto.com/crypto-com-hidden-users-data-breach-sparks-criticism/
