根據 Bloomberg 的調查,全球最大加密貨幣交易所之一的 Crypto.com,遭駭客組織 Scattered Spider 利用社交工程手段攻擊,卻未對外披露資安事件。事件導致員工憑證外洩,引發外界對交易所透明度和監管的擔憂。
你需要知道的重點:
- 以青少年為主的 Scattered Spider 組織,透過社交工程針對員工憑證成功入侵 Crypto.com
- 交易所並未公開資安事件,儘管資安專家認為透明度對用戶保護至關重要
- 此次事件再次引發業界對於「用戶實名驗證」資料蒐集與安全性的討論
社交工程攻擊針對員工憑證
攻擊者冒充 IT 人員,誘使 Crypto.com 員工交出登入憑證。知情人士指出,這是 Scattered Spider 組織的典型作法,專門用心理操控而非高超技術來攻陷目標。
入侵系統後,駭客試圖提升權限,特別針對高層帳號以擴大對平台基礎設施的入侵範圍。
此侵害事件 Crypto.com 表示「只影響極少數人」。
Crypto.com 向 Bloomberg 表示,客戶資金在事件全程都很安全。該公司對事件規模及時程不願進一步說明,也未針對資安疏失再作回應。
產業專家批評未公開決策
資安專家指出,Crypto.com 隱瞞資安事件會損害用戶信任,不公開細節讓客戶無法評估資料是否受損,也阻礙用戶採取防範措施。
類似事件過往層出不窮,例如 Coinbase 曾因資安事件導致年度客戶損失超過三億美元。觀察家認為,隱瞞事件會帶來整個產業的系統性風險。
區塊鏈調查員 ZachXBT 公然指控 Crypto.com 蓄意隱瞞事件。
他強調,這顯示該平台一向不披露資安事件,反映業界普遍對透明度不足的不滿。
監管機制再受檢視
事件激化資安專家對「用戶實名驗證」政策的批評。化名研究員 Pcaversaccio 認為,KYC 系統讓犯罪分子有可趁之機。他指出,密碼可以輕鬆更換,但身份證明文件一旦外洩就很難恢復。
「你可以隨時換密碼,護照卻不是這樣,他們自己也很清楚,」Pcaversaccio 說。「我們基本就是監控體系下的犧牲品。」
這種觀點反映業界愈來愈懷疑現行監管模式。Coinbase 執行長 Brian Armstrong 今年早些時候曾批評《銀行保密法》及現有反洗錢規範落伍無效。他認為業者被迫蒐集敏感資料,反而損害客戶權益。
「我們不想蒐集這些,客戶也討厭,但卻被強迫這麼做。而且事實上並無法有效防堵犯罪,數據就能證明,」Armstrong 解釋。
重要術語解析
社交工程攻擊主利用心理操控而非技術漏洞,騙取目標機敏資訊。攻擊者多冒充 IT 等可信人物,利用人性弱點,而非軟體缺陷。
實名認證(KYC)規定金融機構需檢查用戶身分,目的在防堵洗錢與資恐,卻也讓大量個資集中,增加資安風險,外界因此質疑其成效。
Scattered Spider 屬於新世代網路犯罪集團,重心理操控甚於技術攻擊,顯示人為因素仍是企業資安最薄弱的一環。
結語
Crypto.com 事件凸顯加密幣交易所資安與監管挑戰。如何平衡資訊透明與企業聲譽,仍將持續左右產業資安通報作法。