Kraken rejeitou a oferta criminosa de extorsão depois que o acesso interno indevido expôs dados de cerca de 2.000 contas, mas disse que não houve violação sistemática ou risco para os fundos dos clientes.
resumo
Kraken afirma ter sido chantageado por um grupo criminoso que ameaçou vazar vídeos de acesso aos seus sistemas internos, mas insiste que não houve violação sistêmica e que nenhum dinheiro de cliente estava em risco. A exchange vinculou o incidente ao acesso inadequado por parte de um membro de sua equipe de suporte ao cliente, que acessou dados de cerca de 2.000 contas, representando cerca de 0,02% de seus usuários. O diretor de segurança, Nick Percoco, disse que Kraken está bloqueando o acesso, notificando os usuários afetados e cooperando com as autoridades em meio a um aumento nos ataques de “infiltração interna + engenharia social”.
A exchange de criptomoedas Kraken disse ter recebido ameaças de uma organização criminosa que afirma ter vídeos mostrando acesso aos seus sistemas internos, mas prometeu não pagar resgate e insiste que os fundos dos clientes permanecerão seguros. Em comunicado citado pela CoinDesk, a plataforma enfatizou que “não houve violação sistemática” de sua infraestrutura comercial ou carteiras, e descreveu o incidente como uma exploração direcionada de acesso interno, em vez de um hack bem-sucedido de seus sistemas principais.
Kraken disse que o incidente resultou do acesso inadequado por indivíduos associados às operações de atendimento ao cliente em dois incidentes separados, resultando na exposição combinada de dados limitados em aproximadamente 2.000 contas, ou aproximadamente 0,02% de sua base total de usuários. A exchange acrescentou que esses usuários foram notificados, enquanto os envolvidos tiveram suas credenciais revogadas e bloqueadas nas ferramentas internas devido ao aumento do monitoramento e controles de acesso do Kraken.
O diretor de segurança Nick Percoco afirmou anteriormente que outros US$ 3 milhões em uso indevido dos sistemas da Kraken eram “extorsão, não hacking de chapéu branco” e disse que a empresa estava novamente tratando a nova ameaça como uma questão criminal e trabalhando com a aplicação da lei. Ele disse aos repórteres que acreditava que Kraken tinha evidências suficientes para “ajudar a identificar e prender” os responsáveis pela última tentativa de extorsão e reiterou que a plataforma não negociaria com partes que buscassem monetizar o acesso interno.
A empresa descreve o ataque como refletindo um padrão crescente de “infiltração interna + engenharia social”, no qual pessoas de fora procuram comprometer ou recrutar pessoas dentro de uma organização de serviços para obter acesso somente leitura, imagens de reconhecimento ou dados limitados de clientes, em vez de atacar diretamente sistemas de carteiras reforçadas. No início deste ano, uma listagem na dark web alegando ter acesso ao painel de suporte interno da Kraken e aos dados KYC por US$ 1 levantou preocupações semelhantes, mas a exchange não confirmou nenhuma violação e os pesquisadores de segurança alertaram que mesmo o acesso somente leitura às ferramentas de suporte poderia ser usado como uma arma para phishing e fraude direcionada.
Esta nova tentativa de extorsão ocorre após outro incidente em março, no qual um usuário Kraken supostamente perdeu aproximadamente 7.784 ETH e 26,5 BTC (no valor de aproximadamente US$ 18,2 milhões) antes de os fundos serem transferidos para a HitBTC por meio de um sofisticado esquema de engenharia social, destacando a gama de ameaças que a plataforma e seus clientes enfrentam. Como observaram a empresa de análise de blockchain EmberCN e outras, mesmo que a tesouraria ou a carteira quente de uma bolsa não sejam comprometidas, a falta de controle humano sobre tudo, desde o acesso ao suporte ao cliente até a segurança operacional dos usuários, ainda pode levar a perdas significativas e danos à reputação.
Para a Kraken, o incidente é um teste de resistência para uma cultura de segurança que ela promove há muito tempo, incluindo autenticação obrigatória de dois fatores, suporte para chaves de hardware e mensagens públicas regulares da Percoco sobre as melhores práticas para proteção de contas. Para a indústria como um todo, este é mais um lembrete de que, num mercado onde mesmo uma única credencial comprometida pode custar milhões de dólares aos atacantes, os maiores riscos muitas vezes residem não apenas no código de dia zero, mas na intersecção do acesso interno, do erro humano e da velha extorsão.
