Crypto.com, một trong những sàn giao dịch tiền điện tử lớn nhất thế giới, đã không tiết lộ công khai một vi phạm an ninh do nhóm hacker Scattered Spider thực hiện, theo một cuộc điều tra của Bloomberg investigation. Cuộc tấn công liên quan đến các chiến thuật xã hội đã làm thủng lỗ thông tin cá nhân của nhân viên, dấy lên những lo ngại mới về thực tiễn minh bạch của sàn giao dịch và giám sát pháp lý trong ngành công nghiệp tiền điện tử.
Những điều cần biết:
- Scattered Spider, nhóm chủ yếu gồm các thiếu niên, đã xâm nhập thành công vào Crypto.com thông qua các cuộc tấn công xã hội nhắm vào thông tin cá nhân của nhân viên
- Sàn giao dịch chưa tiết lộ sự cố mặc dù các chuyên gia an ninh cho rằng sự minh bạch này là cần thiết cho bảo vệ người dùng
- Vi phạm làm nổi bật các cuộc tranh luận đang diễn ra trong ngành về yêu cầu thu thập dữ liệu Khách hàng của bạn (KYC) và những hậu quả an ninh của chúng
Cuộc tấn công xã hội nhắm vào thông tin cá nhân của nhân viên
Kẻ tấn công giả danh nhân viên IT để lừa các nhân viên Crypto.com trao quyền đăng nhập của họ. Các nguồn tin quen thuộc với cuộc điều tra mô tả hoạt động này như là phương pháp điển hình của Scattered Spider. Nhóm này chuyên môn hóa trong việc lợi dụng tâm lý của nhân viên thay vì sử dụng những kỹ thuật phức tạp.
Sau khi vào được hệ thống công ty, các hacker đã cố gắng leo thang quyền truy cập của họ. Họ nhắm mục tiêu vào các tài khoản của nhân viên cấp cao để mở rộng quyền truy cập vào cơ sở hạ tầng của nền tảng.
Vụ vi phạm ảnh hưởng đến những gì Crypto.com mô tả là "một số lượng rất nhỏ cá nhân."
Đại diện Crypto.com nói với Bloomberg rằng quỹ của khách hàng vẫn an toàn trong suốt sự cố. Công ty từ chối cung cấp thêm thông tin chi tiết về phạm vi hoặc thời gian của cuộc tấn công. Các quan chức sàn giao dịch không phản hồi các yêu cầu bình luận thêm về sự lỗ quỹ an ninh.
Chuyên gia ngành chỉ trích quyết định không tiết lộ
Các chuyên gia an ninh lập luận rằng quyết định không tiết lộ thông tin về vụ vi phạm của Crypto.com làm suy giảm niềm tin của người dùng. Việc không muốn chia sẻ các chi tiết sự cố để lại cho khách hàng sự không chắc chắn về các rủi ro liên quan đến việc lộ dữ liệu. Sự mờ ám này cũng ngăn cản người dùng có các biện pháp bảo vệ thích hợp chống lại các cuộc tấn công tiếp theo có thể xảy ra.
Sự chỉ trích này dữ dội hơn do những thất bại an ninh trước đó của sàn. Coinbase từng bị vi phạm tương tự dẫn đến thiệt hại của khách hàng vượt quá 300 triệu đô la hàng năm. Các nhà quan sát ngành lưu ý rằng các sự cố không được tiết lộ tạo ra các rủi ro hệ thống trong hệ sinh thái tiền điện tử.
Nhà điều tra trên chuỗi ZachXBT cáo buộc công khai rằng Crypto.com cố ý che giấu vụ vi phạm.
Ông nhấn mạnh rằng sự cố này thể hiện một mô hình vi phạm an ninh không được tiết lộ tại nền tảng này. Các cáo buộc của ông phản ánh sự thất vọng rộng rãi hơn trong ngành đối với các sàn giao dịch giảm thiểu việc tiết lộ vi phạm để bảo vệ uy tín doanh nghiệp.
Khuôn khổ pháp lý bị kiềm duyệt lại
Sự cố này đã gia tăng sự chỉ trích đối với yêu cầu Khách hàng của bạn (KYC) bắt buộc mà theo đó cần thu thập dữ liệu rộng rãi. Nhà nghiên cứu an ninh dưới bút danh Pcaversaccio lập luận rằng các hệ thống KYC tạo ra các mục tiêu hấp dẫn cho tội phạm mạng. Nhà nghiên cứu lưu ý rằng trong khi mật khẩu có thể được thay đổi dễ dàng, tài liệu xác nhận cá nhân không dễ dàng để thay đổi như vậy.
"Bạn có thể thay đổi mật khẩu dễ dàng, nhưng không phải hộ chiếu của mình và họ biết điều đó rất rõ," Pcaversaccio nói. "Chúng tôi về cơ bản là con tốt trong trò giám sát của họ."
Quan điểm này phù hợp với sự hoài nghi ngày càng tăng về cách tiếp cận giám sát quy định hiện nay đối với tiền điện tử. Đầu năm nay, CEO Coinbase Brian Armstrong đã chỉ trích Đạo luật Bảo mật Ngân hàng và các quy định chống rửa tiền hiện tại là lỗi thời và không hiệu quả. Ông lập luận rằng các công ty buộc phải thu thập dữ liệu khách hàng nhạy cảm, đi ngược lại lợi ích kinh doanh của họ.
"Chúng tôi không muốn thu thập nó, và khách hàng chúng tôi ghét nó," Armstrong giải thích. "Chúng tôi bị buộc phải thu thập nó trái với mong muốn của chúng tôi. Và nó thậm chí không hiệu quả trong việc ngăn chặn tội phạm, nếu bạn nhìn vào dữ liệu đằng sau nó."
Hiểu các thuật ngữ chính
Các cuộc tấn công xã hội dựa vào sự thao túng tâm lý hơn là lỗ hổng kỹ thuật để vượt qua hệ thống bảo mật. Kẻ tấn công thường giả danh các nhân vật đáng tin cậy như nhân viên hỗ trợ IT để thuyết phục m ục tiêu tiết lộ thông tin nhạy cảm. Các chiến thuật này đặc biệt hiệu quả vì chúng khai thác tâm lý con người hơn là các điểm yếu của phần mềm.
Các quy định Khách hàng của bạn (KYC) yêu cầu các tổ chức tài chính phải xác minh danh tính khách hàng thông qua tài liệu rộng rãi. Các quy định này nhằm ngăn chặn rửa tiền và tài trợ khủng bố bằng cách tạo ra các hồ sơ chi tiết về chủ tài khoản. Tuy nhiên, các nhà phê bình lập luận rằng các kho dữ liệu tập trung tạo ra rủi ro an ninh mà vượt quá lợi ích phòng ngừa tội phạm của chúng.
Scattered Spider đại diện cho một thế hệ mới của các tổ chức tội phạm mạng ưu tiên việc thao túng xã hội hơn là sự tinh vi kỹ thuật. Sự thành công của nhóm này cho thấy yếu tố con người thường là mắt xích yếu nhất trong chuỗi an ninh doanh nghiệp.
Suy nghĩ cuối cùng
Vụ việc của Crypto.com nhấn mạnh thách thức không ngừng mà các sàn giao dịch tiền điện tử phải đối mặt về an ninh và tuân thủ quy định. Sự căng thẳng giữa yêu cầu minh bạch và quản lý uy tín doanh nghiệp tiếp tục định hình các thực tiễn trong ngành liên quan đến tiết lộ vi phạm.