Portfel

Crypto.com pod ostrzałem za ukrywanie naruszenia bezpieczeństwa, które narażało dane użytkowników

profile-alexey-bondarev
Alexey BondarevSep, 22 2025 4:27
#Hakerzy #Giełda kryptowalut
Crypto.com pod ostrzałem za ukrywanie naruszenia bezpieczeństwa, które narażało dane użytkowników

Crypto.com, jedna z największych na świecie giełd kryptowalut, nie ujawniła publicznie naruszenia zabezpieczeń przeprowadzonego przez grupę hakerską Scattered Spider, według dochodzenia Bloomberg investigation. Atak obejmował taktyki socjotechniczne, które skompromitowały dane pracowników, wzbudzając nowe obawy dotyczące praktyk transparentności giełd i nadzoru regulacyjnego w branży kryptowalut.

Co warto wiedzieć:

  • Scattered Spider, grupa składająca się głównie z nastolatków, z powodzeniem włamała się do Crypto.com poprzez ataki socjotechniczne wymierzone w dane pracowników
  • Giełda nie ujawniła publicznie incydentu, mimo że eksperci ds. bezpieczeństwa twierdzą, iż taka transparentność jest kluczowa dla ochrony użytkowników
  • Naruszenie uwidacznia trwające w branży debaty na temat wymagań dotyczących gromadzenia danych Know Your Customer i ich implikacji bezpieczeństwa

Atak socjotechniczny wymierzony w dane pracowników

Atakujący podszyli się pod pracowników IT, aby oszukać pracowników Crypto.com i skłonić ich do ujawnienia danych logowania. Źródła zaznajomione z dochodzeniem opisały operację jako typową dla metodologii Scattered Spider. Grupa specjalizuje się w manipulacji pracownikami za pomocą taktyk psychologicznych, a nie wyrafinowanych technicznych eksploatacji.

Po uzyskaniu dostępu do systemów firmy, hakerzy próbowali zwiększyć swoje uprawnienia dostępu. Szczególnie celowali w konta starszych pracowników, aby rozszerzyć swoje zasięgi w infrastrukturze platformy.

Naruszenie dotknęło, jak określiło Crypto.com, „bardzo niewielką liczbę osób”.

Przedstawiciele Crypto.com poinformowali Bloomberg, że środki klientów pozostały bezpieczne w trakcie incydentu. Firma odmówiła podania dodatkowych szczegółów dotyczących zakresu lub czasu trwania ataku. Urzędnicy giełdy nie odpowiedzieli na prośby o dalszy komentarz w sprawie luki bezpieczeństwa.

Krytyka ekspertów branżowych wobec decyzji o nieujawnieniu

Specjaliści ds. bezpieczeństwa argumentują, że decyzja Crypto.com o zatajeniu informacji o naruszeniu podważa zaufanie użytkowników. Ich niechęć do dzielenia się szczegółami incydentu pozostawia klientów w niepewności co do potencjalnych zagrożeń związanych z narażeniem danych. Ta nieprzejrzystość uniemożliwia również użytkownikom podjęcie odpowiednich środków ochronnych przed potencjalnymi dalszymi atakami.

Krytyka ma szczególne znaczenie, biorąc pod uwagę wcześniejsze problemy związane z bezpieczeństwem giełd. Coinbase doznała porównywalnej luki, która spowodowała straty klientów przekraczające rocznie 300 milionów dolarów. Obserwatorzy branży zauważają, że nieujawnione incydenty stwarzają systemowe zagrożenia w całym ekosystemie kryptowalut.

Badacz on-chain ZachXBT publicznie oskarżył Crypto.com o celowe ukrywanie naruszenia.

Podkreślił, że ten incydent to część wzorca nieujawnionych luk w zabezpieczeniach platformy. Jego zarzuty odzwierciedlają szerszą frustrację branży wobec giełd, które minimalizują ujawnianie naruszeń, aby chronić swoje reputacje korporacyjne.

Ramy regulacyjne pod coraz większą kontrolą

Incydent ten spotęgował krytykę wymogów Know Your Customer, które są zobowiązane do gromadzenia ogromnych ilości danych. Pseudonimowy badacz bezpieczeństwa Pcaversaccio argumentował, że systemy KYC tworzą atrakcyjne cele dla cyberprzestępców. Naukowiec zauważył, że podczas gdy hasła można łatwo zmienić, dokumentów tożsamości osobistej nie można równie łatwo zastąpić.

„Można łatwo zmienić hasło, ale nie paszport i oni dobrze o tym wiedzą,” stwierdził Pcaversaccio. „Jesteśmy w zasadzie zakładnikami ich reżimu nadzoru.”

Perspektywa ta zgadza się z rosnącym sceptycyzmem wobec obecnych podejść regulacyjnych do nadzoru nad kryptowalutami. Wcześniej w tym roku, CEO Coinbase, Brian Armstrong, krytykował Ustawę o Tajemnicy Bankowej i obowiązujące przepisy przeciwdziałające praniu pieniędzy jako przestarzałe i nieskuteczne. Argumentował, że firmy są zmuszane do zbierania wrażliwych danych klientów wbrew swoim interesom biznesowym.

„Nie chcemy ich zbierać, a nasi klienci to nienawidzą,” wyjaśnił Armstrong. „Jesteśmy zmuszani do ich zbierania wbrew naszej woli. A to nawet nie jest skuteczne w zwalczaniu przestępczości, jeśli spojrzeć na dane z tym związane.”

Zrozumienie kluczowych terminów

Ataki socjotechniczne polegają na manipulacji psychologicznej, a nie na lukach technicznych w celu złamania systemów bezpieczeństwa. Atakujący zazwyczaj podszywają się pod osoby zaufane, takie jak pracownicy wsparcia IT, aby przekonać cele do ujawnienia poufnych informacji. Te taktyki są szczególnie skuteczne, ponieważ wykorzystują psychologię człowieka, a nie słabości oprogramowania.

Regulacje Know Your Customer wymagają od instytucji finansowych weryfikacji tożsamości klientów za pomocą rozległej dokumentacji. Te zasady mają na celu zapobieganie praniu pieniędzy i finansowaniu terroryzmu poprzez tworzenie szczegółowych rejestrów posiadaczy kont. Jednak krytycy twierdzą, że scentralizowane repozytoria danych stwarzają zagrożenia bezpieczeństwa, które przewyższają ich korzyści związane z zapobieganiem przestępczości.

Scattered Spider reprezentuje nowe pokolenie organizacji cyberprzestępczych, które priorytetowo traktują manipulację społeczną nad techniczną wyrafinowaniem. Sukces grupy pokazuje, jak czynniki ludzkie często stanowią najsłabsze ogniwo w łańcuchach bezpieczeństwa korporacji.

Końcowe przemyślenia

Incydent Crypto.com podkreśla utrzymujące się wyzwania związane z bezpieczeństwem giełd kryptowalutowych i zgodnością z regulacjami. Napięcie między wymogami transparentności a zarządzaniem reputacją korporacyjną nadal kształtuje praktyki branżowe dotyczące ujawniania naruszeń.

Zastrzeżenie: Informacje zawarte w tym artykule mają charakter wyłącznie edukacyjny i nie powinny być traktowane jako porada finansowa lub prawna. Zawsze przeprowadzaj własne badania lub skonsultuj się z profesjonalistą podczas zarządzania aktywami kryptowalutowymi.
Powiązane wiadomości
Udział w Oszustwie Socjotechnicznym Udaremniony w Binance i Kraken po Naruszeniu Zabezpieczeń w Coinbase
May 19, 2025
Binance i Kraken udaremniły ataki socjotechniczne przez przekupstwo. Wskazuje to na rosnące zagrożenia insiderowe w kryptowalutach.
Coinbase pozwany za przekupstwo personelu wsparcia i wyciek informacji o klientach
May 19, 2025
Coinbase ujawnia, że naruszenie danych napędzane łapówkami zagroziło ich użytkownikom, co skutkuje przynajmniej sześcioma pozwami i krytyką bezpieczeństwa.
Naruszenie danych Coinbase ujawnia informacje o użytkownikach, zwiększając obawy dotyczące scentralizowanego bezpieczeństwa kryptowalut.
Opis naruszenia danych przez pracownika Coinbase. Problemy z bezpieczeństwem wewnętrznym i scentralizowanymi platformami.
Haker konwertuje Bitcoin o wartości $42,5M na Ethereum po wycieku danych z Coinbase, który dotknął 97 tys.
Atak wpływa na 97,000 użytkowników, kiniejsce szybkie dochodzenia i naciski na bezpieczniejsze operacje.
Dane wspólnika założyciela Solany wyciekły poprzez zhakowane konto na Instagramie Migosa
Incydent ujawnienia danych osobowych założyciela Solany wskazuje na złożone zagrożenia związane z mediami społecznościowymi i danymi KYC.
Powiązane artykuły badawcze
Oszustwa kryptowalutowe w 2025 osiągają rekordowe poziomy: Od deepfake'ów na YouTube do oszustw typu "pig butchering"
Oszustwa kryptowalutowe w 2025 roku osiągają niespotykane poziomy, oszuści używają deepfake'ów, phishingu i technologii, aby okraść użytkowników.
Nadzór nad kryptowalutami w 2025 roku: Jak Chainalysis, FBI i AI śledzą Twoją portfel cyfrowy
Kryptowaluty kiedyś były uważane za ostoję anonimowości, ale w 2025 roku ktoś prawdopodobnie obserwuje Twój portfel.
Giełdy bez KYC w 2025 roku: mit, rzeczywistość czy szara strefa?
Era anonimowych scentralizowanych giełd kończy się, zastąpiona skomplikowaną "szarą strefą" ograniczonych usług bez KYC.
Crypto Wobec Sankcji: Jak Ograniczone Kraje Przyjmują Bitcoin i Stablecoiny
Sep 12, 2025
Sankcjonowane kraje w 2024 roku przyjęły kryptowaluty o wartości 15,8 mld USD, reprezentując 39% wszystkich nielegalnych transakcji cyfrowych.
Krypto dla Generacji Alpha: Jak nastolatki wykorzystują Web3 do nauki, grania i zarabiania
Pokolenie Alpha wykorzystuje technologię Web3 do nauki, pracy i rozrywki, oferując nowe możliwości w zdecentralizowanej gospodarce.
Powiązane artykuły edukacyjne
Ochrona konta na giełdzie kryptowalut: Wyjaśnione zaawansowane strategie bezpieczeństwa
Zrozumienie mechanizmów inżynierii społecznej jest kluczowe - od indywidualnych posiadaczy po duże giełdy.
Ataki socjotechniczne w kryptowalutach: 10 sprawdzonych wskazówek, jak chronić swoje cyfrowe aktywa
May 13, 2025
Naucz się zabezpieczać swoje kryptowaluty przed oszustwami socjotechnicznymi dzięki sprawdzonym poradom.
Crypto-Asset Reporting Framework (CARF): Czym jest i jak wpływa na raportowanie podatków od kryptowalut
Eksplozja rynku kryptowalut, sięgająca 2,6 biliona dolarów kapitalizacji do 2025 roku, ukazała krytyczne luki w egzekwowaniu podatków oraz przejrzystości finansowej.
5 Najlepszych Sposobów na Zabezpieczenie Portfela Kryptowalut Przed Hakerami
Dec 31, 2024
Większość nowicjuszy w kryptowalutach spieszy się, aby kupić jakieś tokeny i nie przejmuje się zbytnio tym, gdzie je przechowywać. To może być kluczow
Czy można podzielić klucz prywatny Bitcoina? Kompletny przewodnik po posiadaniu kryptowalut, dziedziczeniu i kwestiach prawnych 2025
Czy można podzielić klucz prywatny Bitcoina? To wyzwanie, jak zarządzać współwłasnością, dziedziczeniem i dostępem sądowym w świecie kryptografii.