ブルームバーグの調査によると、世界最大の暗号資産取引所の一つであるCrypto.comが、公表していないセキュリティ侵害を受けたと報じられています。
この報告では、この事件をソーシャルエンジニアリング戦術で企業を標的にすることが多いハッキンググループ「Scattered Spider」と関連付けています。このグループは主に、従業員を騙して認証情報を渡すよう仕向けることを専門とする10代の若者で構成されています。
Sponsored
Sponsored
ブルームバーグによると、攻撃者はIT担当者を装い、名前が明かされていないCrypto.comの従業員にログイン認証情報を渡すよう説得したとのことです。侵入後、彼らは上級スタッフのアカウントを標的にして、アクセス権限を拡大しようとしました。
Crypto.comはブルームバーグに対し、この攻撃は「ごく少数の個人」にのみ影響し、顧客の資金は無事だったと強調しました。
同社は本稿執筆時点で、この事件に関する追加情報をまだ提供していません。
一方、セキュリティ専門家は、同取引所がこの侵害を公表しないという決定が、そのセキュリティ対策への信頼を損なうと主張しています。
彼らは、事件の詳細を共有しなかったことで、ユーザーが情報漏洩の範囲について不確かな状態に置かれ、可能性のあるフォローアップ攻撃に対して脆弱になると論じています。
この懸念は重要です。なぜなら、Coinbaseは以前、顧客を年間3億ドル以上の損失にさらした同様の侵害を経験しているからです。
オンチェーン調査員のZachXBTは、Crypto.comが意図的に侵害を隠蔽したと非難しました。彼はまた、このプラットフォームが未公表のセキュリティ上の問題と関連付けられたのは今回が初めてではないと強調しました。
Sponsored
Sponsored
彼のコメントは、評判を守るために侵害を静かに軽視する取引所に対する業界全体の不満を反映しています。
一方、この事件は、業界の本人確認(KYC)システムへの依存に対する批判も再燃させました。
匿名のセキュリティ研究者Pcaversaccioは、この問題に対して鋭く反応し、KYC要件がハッカーにとって大規模なデータハニーポットを作り出していると主張しました。
この懸念は、規制の枠組みに対する業界全体の懐疑論と一致しています。
今年初め、CoinbaseのCEOであるBrian Armstrongは、銀行秘密法と既存のマネーロンダリング防止規則が時代遅れで効果がないと批判しました。
彼は、企業が意思に反して機密データを収集することを強いられていると説明しました。彼によれば、これらの要件は企業や顧客に負担をかけているにもかかわらず、犯罪防止にはほとんど役立っていないとのことです。
Source: https://beincrypto.com/crypto-com-hidden-users-data-breach-sparks-criticism/
