Crypto.com員工帳戶遭駭案曝光,兇手是青少年駭客
《彭博社》近日發表一篇調查報導,主題是一位青少年駭客的自白, 但報導也透露知名加密貨幣交易所Crypto.com曾遭受一次之前從未披露的資安攻擊。
報導指出,惡名昭彰的網路犯罪集團「Scattered Spider」中,有一名青少年成員Noah Urban,他的專長不是複雜的程式編碼能力,而是被稱為「社交工程」的心理操縱技巧。
他擅長偽裝成公司IT人員或安全部門員工,透過電話等方式誘騙目標交出登入憑證。
他與另一名駭客Jack合作,透過社交工程取得Crypto.com員工帳戶的存取權限 ,該集團先前也曾用類似方式攻擊過MGM度假村等大型企業。
Crypto.com發言人向《彭博社》證實確實有這起案件發生, 但強調受影響的只有極少數人,而且客戶資金並未受到任何損失。
Crypto.com未主動披露,鏈上偵探直接開噴
在《彭博社》報導前,Crypto.com從未主動公開這個資安事件,引發外界質疑。
區塊鏈偵探ZachXBT就公開批評Crypto.com,並沒有主動向被影響的用戶公開披露個資外洩事件,直到被《彭博社》報導時才首度對外承認了這次攻擊,並說明了事件的影響範圍。
但Crypto.com執行長後來澄清,在NMLS資料安全事件通知文件以及向相關司法監管機構提交的補充報告中,已通報該交易所在2023年檢測到了針對一名員工的網路釣魚活動。
該事件在數小時內得到控制,沒有客戶資金被盜用或面臨風險,並且只影響了極少數用戶的部分PII。
中心化交易所的資安挑戰:Bybit、Coinbase的前車之鑑
一直以來,中心化交易所(CEX)持續面臨資安挑戰,尤其是針對「人」的攻擊。駭客時常將交易所員工視為突破口,以獲取更敏感的客戶數據。
Crypto.com的競爭對手Coinbase今年也曾爆發嚴重的個資外洩案,起因是一名外包客服公司的員工,涉嫌竊取近七萬名用戶的敏感資料並販售給駭客。
而更嚴重的是導致交易所損失資金的案件,譬如今年爆出的幣圈最大駭客案「Bybit遭駭事件」,駭客就盜走了15億美元;而台灣交易所幣託(BitoPro)也曾損失1,150萬美元,直到ZachXBT公布此案後才承認遭駭;加密貨幣交易所BigONE的熱錢包也遭駭,導致價值2,700萬美元的資產被盜。
最新的案例則是瑞士的加密貨幣平台SwissBorg,因合作夥伴的API系統遭到入侵,導致其Solana($SOL)質押服務「Earn」計畫被駭,損失金額高達約4,100萬美元。
這些案件都凸顯了加密貨幣平台在面對社交工程、第三方 API 或錢包服務商遭攻擊等招數時,如何提升資安意識與技術防護的能力。
本文授權轉載自《加密城市》
