據 Bloomberg 調查報導,全球大型加密貨幣交易所之一 Crypto.com,未有向公眾披露由黑客組織 Scattered Spider 發動的安全漏洞。這次攻擊透過社交工程手法,盜取員工帳戶資訊,令外界更關注交易所的透明度及加密貨幣行業的監管情況。
重點摘要:
- 以年輕人為主的黑客組織 Scattered Spider,通過社交工程攻擊鎖定 Crypto.com 員工帳號並成功入侵
- 專家指出,交易所並無公開事件詳情,透明度不足,對用戶保障造成疑慮
- 此攻擊事件再次引發業界對 KYC(認識你的客戶)資料收集規定及其安全性的討論
社交工程攻擊針對員工帳戶
這次攻擊者假扮 IT 部門人員,誘騙 Crypto.com 員工交出登入資料。消息人士形容整個過程是 Scattered Spider 的典型手法,該組織著重心理操控員工而非純技術攻擊。
黑客進入系統後,嘗試提升權限,並特別針對高層帳戶以擴大在平台的控制範圍。
Crypto.com 稱此次事件只影響「極少數用戶」。
Crypto.com 向 Bloomberg 表示,客戶資金在事件期間始終安全,但未透露進一步細節如攻擊範圍或時間線。針對這次安全疏忽,交易所亦未有作出更多回應。
業界批評未及時披露事件
安全專家認為,Crypto.com 隱瞞事件細節,損害用戶信任。缺乏透明度令客戶難以知悉資料是否外洩,亦無法充分自保。此舉亦令發生類似追擊(釣魚、詐騙)風險提高。
以往多次交易所安全事故,令這次事件更受關注,如 Coinbase 曾因資料洩漏導致每年過三億美元損失。業內人士認為,未公開通報的攻擊會增加整個加密幣生態的系統性風險。
On-chain 調查員 ZachXBT 直接指控 Crypto.com 有意隱瞞事故。
他指這事件反映該平台有一貫隱瞞安全問題的習慣,折射出整個業界為保品牌而輕描淡寫資訊披露的普遍不滿。
監管制度再受質疑
這次事故令業界加強質疑 KYC 有關數據收集的必要。匿名安全研究員 Pcaversaccio 認為,儲存大量身份文件會吸引黑客,危險性高。他指出密碼易換,身份證件卻難以更換。
「更換密碼容易,但護照沒那麼簡單——他們根本心知肚明,」Pcaversaccio 說。「我們基本上成為了他們監控生意的犧牲品。」
這些看法亦呼應業界對現行監管方式的質疑。早前 Coinbase 執行長 Brian Armstrong 斥責銀行保密法及現有反洗黑錢法例過時無效,強調企業被迫收集敏感客戶資料,對業務不利。
「我們根本不想收集,用戶亦討厭提交,」Armstrong 解釋。「但我們被迫照做,而且這做法根本無助減罪,數據已說明一切。」
重點詞語解釋
社交工程攻擊利用心理操控取代技術漏洞,通常冒充 IT 支援騙取敏感資訊。這類手法高度有效,因為針對人性弱點而非軟件漏洞施襲。
KYC 法規要求金融機構通過詳細文件驗證用戶身份,此舉旨在防止洗黑錢及恐怖份子融資,但批評者認為,集中儲存大量個人資料只會放大資安風險。
Scattered Spider 屬於新世代黑客組織,重點運用社交工程手法而非高技術,突顯人為因素往往是企業安全鏈中最脆弱的一環。
總結
Crypto.com 這次事件凸顯了加密貨幣交易所面對的安全和合規困難。披露透明度與維護企業聲譽之間的拉鋸,仍然深刻影響業界披露安全事故的實踐。